1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Comodo: Zertifikatsausstellung mit…

CAs abschaffen und DANE/TLSA vorwärtsbewegen

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: My1 30.07.16 - 14:18

    also CAs sind sowieso wegen der jeder darf alles funktionalität ein riesen problem.

    man könnte aber zumindest via DNSSec die identität des Inhabers besser absichern, da diese bereits bmit dem registrar eingerichtet werden muss und das ja den domaininhaber besser kennt als irgendeine dahergelaufene CA die bestenfalls die Whoisdaten des inhabers über einen Nicht abgesicherten Kanal prüfen muss.

    und für reine DV Certs wäre DANE/TLSA (also cert daten im DNS hinterlegen, was aber DNSSEc als vorrausetzung hat) besser da aufgrund der DNSSec Vorrausetzung der domaininhaber bereits auf sichere weise gecheckt wurde denn nur der kann seinen öffentlichen KSK an das registrar senden damit DNSSec geht.

    und DNSSec arbeitet nach baumstruktur das heißt jeder darf nnur sich selbst und darunter signieren, ergo die Verwalter der .com TLD können nicht für .de signieren und umgekehrt. das schließt viele Probleme bereits im vorraus aus die beim CA system vorprogrammiert sind.

    weil wenn man auch nur EINE CA austrickst kann man für fast überall n DV cert holen, was aber bei DNSSec nicht so schnell passieren kann.

  2. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: MasterBlupperer 30.07.16 - 15:18

    My1 schrieb:
    --------------------------------------------------------------------------------
    > bmit dem registrar eingerichtet werden muss und
    > das ja den domaininhaber besser kennt als irgendeine dahergelaufene CA die

    ehrlich? Der Registrar kennt den überhaupt nicht und hat normalerweise auch kein Kontakt mit dem Kunden. Da kannst du praktisch alles angeben und es wird praktisch ungeprüft übernommen. Die verarbeiten praktisch nur das, was deren Großhändler automatisiert weiterleiten und für die wiederum sind Domains auch nur ein Massengeschäft, wo rein gar nichts (außer mit viel Glück einmal den Vertrag mit dem Domain-Verkäufer) geprüft wird.

    Im Endeffekt geht das auch nicht anderes, da man praktisch an an einer Domain-Registrierung praktisch nichts verdient. Da kann es keine Prüfung geben und es muss so automatisch wie möglich alles ablaufen. Maximal kleinste Webdesign-Unternehmen die Domains als Zusatz mit verkaufen kennen im Endeffekt den Kunden noch direkt.

    Das erklärt auch, warum so viele Domains für Fake-Shops/Spam usw. automatisiert registriert werden jeden Tag.

  3. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: My1 30.07.16 - 15:26

    naja aber alleine dadurch dass es im regelfall n kunden interface gibt (oder eben das registrar die email des bestellers kennt welche zumindest gecheckt wird) hat dies die betreffenden daten bereits sicher und kann sagen dass der der den key request abgesendet hat der selbe ist der das ding bestellt hat.

    und es gibt scheinbar TLDs und/oder bei denen etwas geprüft wird, als mein Kumpel die domain für unser forum registrieren wollte musste der erst auf nen Brief warten bis da was kam.

    aber egal ob die RL identität geprüft wird kann die registry sicherer sagen dass jemand der ist der das ding registriert hat.

    und ich beziehe mich zumindest da auch rein auf DVs.

  4. CAs abschaffen?

    Autor: Trollmagnet 30.07.16 - 16:22

    CAs abschaffen und durch DANE ersetzen? Pest gegen Cholera eintauschen?

    Ja, einer CA allein zu vertrauen ist fahrlässig. DANE kann hier als zusätzliche Zertifizierungsstelle genutzt werden. Bei HTTPS sei noch HSTS mit HPKP erwähnt.

    Wenn jedoch DANE als alleinige Zertifizierungsstelle genutzt wird, verschiebt man das Problem nur. Eigentlich verschlimmert man das Problem sogar, da DNS-Provider definitiv nicht die nötige Sicherheitsinfrastruktur unterhalten.

  5. Re: CAs abschaffen?

    Autor: My1 30.07.16 - 17:03

    Trollmagnet schrieb:
    --------------------------------------------------------------------------------
    > CAs abschaffen und durch DANE ersetzen? Pest gegen Cholera eintauschen?
    >
    > Ja, einer CA allein zu vertrauen ist fahrlässig. DANE kann hier als
    > zusätzliche Zertifizierungsstelle genutzt werden. Bei HTTPS sei noch HSTS
    > mit HPKP erwähnt.
    >
    > Wenn jedoch DANE als alleinige Zertifizierungsstelle genutzt wird,
    > verschiebt man das Problem nur. Eigentlich verschlimmert man das Problem
    > sogar, da DNS-Provider definitiv nicht die nötige Sicherheitsinfrastruktur
    > unterhalten.

    naja aber anders als bei CAs ist bei DNS eben schon durch die struktur von DNSSec der schaden relativ begrenzbar.

    anders als wie bei Synamtec wo mal schnell n paar certs für Google.com angeblich zu "testzwecken" erstellt werden.

  6. Re: CAs abschaffen?

    Autor: corenet 30.07.16 - 21:06

    Trollmagnet schrieb:
    --------------------------------------------------------------------------------
    > CAs abschaffen und durch DANE ersetzen? Pest gegen Cholera eintauschen?
    >
    > Ja, einer CA allein zu vertrauen ist fahrlässig. DANE kann hier als
    > zusätzliche Zertifizierungsstelle genutzt werden. Bei HTTPS sei noch HSTS
    > mit HPKP erwähnt.
    >
    > Wenn jedoch DANE als alleinige Zertifizierungsstelle genutzt wird,
    > verschiebt man das Problem nur. Eigentlich verschlimmert man das Problem
    > sogar, da DNS-Provider definitiv nicht die nötige Sicherheitsinfrastruktur
    > unterhalten.

    Das wird immer wieder gerne gesagt, allerdings sollte man es mal zu Ende denken. Die DNS-Provider sind doch genau die, die aktuell auch schon im Ausstellungsprozess von den CAs genutzt werden.

    E-Mail-Autorisierung: MX-Records der Domain abfragen.
    HTTP-Token Autorisierung: IP des Hostnamen abfragen.
    DNS-Autorisierung: Muss ich nichts weiter zu sagen.

    Selbst bei Organisationsvalidierung werden die Daten der Domain per Whois abgefragt und auch hier liefert natürlich wieder das DNS-System die IP des Whois-Servers. Es kommen natürlich noch weitere Prüfungen hinzu was es hier für Unbefugte schwerer macht.

    DNSSEC und DANE reduziert das ganze auf ICANN, Registry, Registrar, Domainanbieter, DNS-Provider. Bei dem bisherigen Modell mit CAs sind die selben beteiligt nur kommen eben noch Unmengen CAs hinzu denen Clients von Haus aus vertrauen.

    Das DNS-System ist ein Grundpfeiler des Internets auf dem fast alle anderen Dienste in irgendeiner Art und Weise aufbauen, wenn man ihm nicht vertraut hilft eigentlich nur eins: Stecker ziehen

    Einzige Schwachpunkt aktuell an DNSSEC ist meines Erachtens, dass einige immer noch 1024 Bit RSA-Schlüssel benutzen.

  7. Re: CAs abschaffen?

    Autor: My1 30.07.16 - 21:24

    Schwachpunkt 1024bit RSA
    '-> nicht falsch aber auch nicht komplett wahr.
    man muss schauen wo man diesen nutzt

    wenn man bspw nen 7 Tage ZSK mit RSA1024 macht ist es deutlich weniger ein problem weil dieser schnell gewechselt werden kann. als KSK der im prinzip solange bleibt bis er in zusammenarbeit mit dem registrar gewechselt wird dann sieht es schon anders aus.

    mMn sollte man einfach auf EC wechseln und fertig, kürzere Keys, signaturen und der signierprozess geht schneller.

    DNSSEC und DANE reduziert das ganze auf ICANN, Registry, Registrar, Domainanbieter, DNS-Provider. Bei dem bisherigen Modell mit CAs sind die selben beteiligt nur kommen eben noch Unmengen CAs hinzu denen Clients von Haus aus vertrauen.

    exakt, aber es kommt noch besser. die einzigen die etwas an deiner seite spielen können ist dein DNS Server/Provider (obvious), dein registrar (ich bezweifle dass die registry hier mist bauen würde), die registry deiner TLD und die ICANN. durch die Baumstruktur kann jetzt bspw der Verwalter von .de einer .info domain NICHTS anhaben. genauso wenig kann golem.de records von bspw gmx.de absignieren.

    bei dem CA system gibt es hunderte CAs mit noch mehr intermediates und der browser vertraut nahezu JEDEM davon das sich mit dem browser geklärt hat und da kann es danach genug Müll geben (bspw Startssl und heartbleed war ne lustig geschichte oder die dauernden eskapaden mit Symantec.) ohne dass bedeutend viel bei den meisten browsern passiert. nicht zu vergessen dass die CAs den gesetzen der jeweiligen Länder unterliegen und wenn bspw ne chinesische CA per gesetz gezwungen würde für ne DE seite n cert zu machen dann werden die das wohl machen und dann is die scheiße gelaufen.

  8. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: RipClaw 30.07.16 - 21:40

    My1 schrieb:
    --------------------------------------------------------------------------------

    > und für reine DV Certs wäre DANE/TLSA (also cert daten im DNS hinterlegen,
    > was aber DNSSEc als vorrausetzung hat) besser da aufgrund der DNSSec
    > Vorrausetzung der domaininhaber bereits auf sichere weise gecheckt wurde
    > denn nur der kann seinen öffentlichen KSK an das registrar senden damit
    > DNSSec geht.

    Wenn es um reine DV Zertifikate geht stimme ich dir zu das hier DANE eine Alternative wäre. Allerdings gibt es noch eine Aufgabe die die CAs haben aber die nicht durch DANE ersetzt werden kann. Sie achten auf Domains die entweder registrierte Marken enthalten oder aber Vertipperdomains.

    Ein Beispiel wäre die Domain paypal-security.de die aktuell über 1&1 registriert ist und nicht PayPal gehört. Diese Domain eignet sich ziemlich gut für Phishing.

    Mit Dane kann sich der Besitzer einfach ein Zertifikat selber ausstellen aber bei einer CA sollte er eigentlich abblitzen wenn die ihren Job richtig machen.

  9. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: My1 30.07.16 - 21:47

    RipClaw schrieb:
    ---------------------------------------------------------------
    > Wenn es um reine DV Zertifikate geht stimme ich dir zu das hier DANE eine
    > Alternative wäre. Allerdings gibt es noch eine Aufgabe die die CAs haben
    > aber die nicht durch DANE ersetzt werden kann. Sie achten auf Domains die
    > entweder registrierte Marken enthalten oder aber Vertipperdomains.
    >
    > Ein Beispiel wäre die Domain paypal-security.de die aktuell über 1&1
    > registriert ist und nicht PayPal gehört. Diese Domain eignet sich ziemlich
    > gut für Phishing.
    >
    > Mit Dane kann sich der Besitzer einfach ein Zertifikat selber ausstellen
    > aber bei einer CA sollte er eigentlich abblitzen wenn die ihren Job richtig
    > machen.

    Das sollte aber nicht die Aufgabe der ca sein sondern die des registrars oder zumindest die der registry, denn auch genug Leute interessiert https nicht und bei der Zahl an CAs ist es alles andere als unwahrscheinlich dass mindestens eine nicht schaut. Und fehlausstellungen wie mit Symantec und Google kennen wir doch.

  10. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: RipClaw 30.07.16 - 22:28

    My1 schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------
    > > Wenn es um reine DV Zertifikate geht stimme ich dir zu das hier DANE
    > eine
    > > Alternative wäre. Allerdings gibt es noch eine Aufgabe die die CAs haben
    > > aber die nicht durch DANE ersetzt werden kann. Sie achten auf Domains
    > die
    > > entweder registrierte Marken enthalten oder aber Vertipperdomains.
    > >
    > > Ein Beispiel wäre die Domain paypal-security.de die aktuell über 1&1
    > > registriert ist und nicht PayPal gehört. Diese Domain eignet sich
    > ziemlich
    > > gut für Phishing.
    > >
    > > Mit Dane kann sich der Besitzer einfach ein Zertifikat selber ausstellen
    > > aber bei einer CA sollte er eigentlich abblitzen wenn die ihren Job
    > richtig
    > > machen.
    >
    > Das sollte aber nicht die Aufgabe der ca sein sondern die des registrars
    > oder zumindest die der registry, denn auch genug Leute interessiert https
    > nicht und bei der Zahl an CAs ist es alles andere als unwahrscheinlich dass
    > mindestens eine nicht schaut. Und fehlausstellungen wie mit Symantec und
    > Google kennen wir doch.

    Aktuell scheint es weder die DENIC noch

  11. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: RipClaw 30.07.16 - 22:31

    My1 schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------
    > > Wenn es um reine DV Zertifikate geht stimme ich dir zu das hier DANE
    > eine
    > > Alternative wäre. Allerdings gibt es noch eine Aufgabe die die CAs haben
    > > aber die nicht durch DANE ersetzt werden kann. Sie achten auf Domains
    > die
    > > entweder registrierte Marken enthalten oder aber Vertipperdomains.
    > >
    > > Ein Beispiel wäre die Domain paypal-security.de die aktuell über 1&1
    > > registriert ist und nicht PayPal gehört. Diese Domain eignet sich
    > ziemlich
    > > gut für Phishing.
    > >
    > > Mit Dane kann sich der Besitzer einfach ein Zertifikat selber ausstellen
    > > aber bei einer CA sollte er eigentlich abblitzen wenn die ihren Job
    > richtig
    > > machen.
    >
    > Das sollte aber nicht die Aufgabe der ca sein sondern die des registrars
    > oder zumindest die der registry, denn auch genug Leute interessiert https
    > nicht und bei der Zahl an CAs ist es alles andere als unwahrscheinlich dass
    > mindestens eine nicht schaut. Und fehlausstellungen wie mit Symantec und
    > Google kennen wir doch.

    Aktuell scheint es weder die DENIC noch 1&1 interessieren das jemand die Domain paypal-security.de registriert hat und das Argument mit der Vielzahl an CAs von denen sicher eine nicht genau genug hinschaut kann man ebenso auf die Registrare und die Registries anwenden.

  12. Re: CAs abschaffen und DANE/TLSA vorwärtsbewegen

    Autor: My1 30.07.16 - 22:43

    naja nur wenn eine registry hinschaut dann fällt eine (oder im falle einiger gTLD registries) bzw. gleich mehrere TLDs für den angreifer ganz weg. bei den registraren muss ich gewissermaßen leider zustimmen.

    btw hier mal ne liste der registries.
    https://www.icann.org/resources/pages/listing-2012-02-25-enhttps://www.icann.org/resources/pages/listing-2012-02-25-en
    allein verisign hat com, comsec (keine ahnung wofür die is), name, net und n paar unicode TLDs (dabei auch die .com in verschiedenen sprachen wie russisch oder Japanisch) und afilias hat auch nen stapel an TLDs (u.a. info) wenn die paar registries der wichtigsten gTLDs und die registries von ccTLDs der "besseren" länder da sich das mal anschauen dann wäre schon viel getan.

    oder eben dass die ICANN da mal n paar regeln setzt. ländernamen oder olympisches oder rotkreuzvereine darf auch niemand als domain setzen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Diehl Metering GmbH, Ansbach
  2. Simovative GmbH, München
  3. Fontanestadt Neuruppin, Neuruppin
  4. Universitätsklinikum Tübingen, Tübingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-87%) 2,50€
  2. (-47%) 21,00€
  3. (-91%) 2,20€
  4. 58,48€ (PC), 68,23€ (PS4) 69,99€ (Xbox One)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberpunk 2077 angespielt: Zwischen Beamtenbestechung und Gunplay mit Wumms
Cyberpunk 2077 angespielt
Zwischen Beamtenbestechung und Gunplay mit Wumms

Mit dem Auto von der Wüste bis in die große Stadt: Golem.de hat den Anfang von Cyberpunk 2077 angespielt.
Von Peter Steinlechner

  1. CD Projekt Red Cyberpunk 2077 nutzt Raytracing und DLSS 2.0
  2. Cyberpunk 2077 Die Talentbäume von Night City
  3. CD Projekt Red Cyberpunk 2077 rutscht in Richtung Next-Gen-Startfenster

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac