1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › DNS über TLS: Google bringt…

wie sicher ist denn "sicher"

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. wie sicher ist denn "sicher"

    Autor: Anonymer Nutzer 26.10.17 - 11:05

    das system steht und fällt doch mit der integrität der CA, und da gilt: vertrauen *kann* man nicht, man *muss* vertauen.
    also DNS über TLS/SSL ist nicht *sicher*, sondern nur *verschlüsselt* - meiner meinung nach.

  2. Re: wie sicher ist denn "sicher"

    Autor: Sharra 26.10.17 - 11:20

    LiPo schrieb:
    --------------------------------------------------------------------------------
    > das system steht und fällt doch mit der integrität der CA, und da gilt:
    > vertrauen *kann* man nicht, man *muss* vertauen.
    > also DNS über TLS/SSL ist nicht *sicher*, sondern nur *verschlüsselt* -
    > meiner meinung nach.


    Irgendwo ist immer ein Haken. Die Kunst ist es, den Haken so weit nach hinten zu verschieben, dass er möglichst schwer zum Aufhänger wird.
    Natürlich sind grade inkompetente CAs in letzer Zeit massiv aufgefallen, und das Thema dadurch aktuell.
    Aber besser als gar keine Verschlüsselung ist es allemal. Immerhin kann einem dann der Provider nicht einfach was anderes vor die Nase setzen, weil dieser gar nicht weiss, was du aufgerufen hast. Sperren funktionieren damit allerdings immer noch, da der Provider einfach den anschließenden Verbindungsaufbau unterbricht.

  3. Re: wie sicher ist denn "sicher"

    Autor: ikhaya 26.10.17 - 12:15

    Wenn dieses System implementiert ist kannst du es ja mit DANE-TLSA erweitern zum Beispiel und dann ist auch die CA Flanke abgesichert.

  4. Re: wie sicher ist denn "sicher"

    Autor: My1 26.10.17 - 12:24

    deswegen gibts ja eigentlich DNSSec das die schlüsselverwaltung deutlich restriktiver gestaltet als bei TLS.

    den Signing key fürs DNS einer Zone hat grundsätzlich der zoneninhaber, so weit so logisch, aber diesen Key beglaubigen kann nur der Manager der TLD, also bei DE Domains muss die Denic den DS (simpel gesagt hash vom pubkey) record fertig machen und in der .de Zone signieren und darüber steht nur die ICANN mit dem Root key und der Zegelmäßig austasch der Kurzlebigen Root Zonekeys ist in einer verdammt aufwändigen "Zeremonie" die mindestens 7 Leute braucht von denen 3 mit ICANN nix zutun haben dass da überhaupt was losgehen kann und dann kommt hinzu dass alles mit audit passiert und auch alles (inklusive aufnahmen der Überwachungskameras die dort sind) ÖFFENTLICH EINSEHBAR ist.

    hier was zum Lesen:
    https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/

    dagegen standen das letzte mal als ich schaute bei TLS >150 CAs da (im store von firefox an dessen komplette liste ich am einfachsten kam) von denen wahrscheinlich alle alles signieren dürfen, da kann deutlich mehr schief gehen als bei DNSSec, vor allem da NUR der TLD manager der domain den DS zur domain regeln kann.

    es wurde auch kritisiert [1] dass bspw die in libyen die signaturen und so für bitly regeln könnten ich sag dazu nur SELBST SCHULD, wenn man .ly nutzt. wenn man eine TLD von einem land nutzt dann begibt man sich automatisch in deren rechtsraum, ist doch logisch.

    die in libyen die hätten auch auf anderem wege an Zertifikate kommen können (einmal im whois die email ändern lassen und es gibt sicher irgendeine CA die an die whois adresse Bestätigungen für n DV cert sendet.

    und nochwas, wenns dort ne CA gibt dann kann die schon lange für bitly certs ausstellen. die lösung ist ganz einfach, man sollte sich halt ne TLD nehmen bei der man dem registrar bzw der registry vertrauen kann.

    es gibt bspw genug CAs in der Türkei, ich hab keinen Bock dass Erdo n cert für eine meiner websites ausstellt (wird sicher nicht passieren aber es geht ums prinzip) dann nutze ich einfach keine türkische TLD, und sichere alles mit DNSSec und TLSA so simpel

    [1]
    https://sockpuppet.org/blog/2015/01/15/against-dnssec/

    Asperger inside(tm)

  5. Re: wie sicher ist denn "sicher"

    Autor: My1 26.10.17 - 12:25

    DNS über TLS kommt bei weitem nicht an DNSSec ran im bezug auf die sicherstellung dass der DNSServer nicht von irgendwo ne falsche antwort herhat oder der DNSServer selbst böse ist, die signaturen sind schon wichtig.

    Asperger inside(tm)

  6. Re: wie sicher ist denn "sicher"

    Autor: ikhaya 26.10.17 - 12:39

    Die beiden Verfahren ergänzen sich.
    DNSSEC kümmert sich um Integrität der Daten und DNS over TLS verbirgt die Anfrage vor
    neugierigen Blicken.

  7. Re: wie sicher ist denn "sicher"

    Autor: My1 26.10.17 - 12:45

    sicher wenn man beides zusammen nutzt geht das super, nur wenn leute auf die Idee kommen DNSS (einfach mal nach dem namenschema anderer TLS-gestützter protokolle genannt) als ersatz für DNSSec zu vermarkten, geht das mMn in die kategie "how about NO?!?"

    Asperger inside(tm)

  8. Re: wie sicher ist denn "sicher"

    Autor: chefin 26.10.17 - 13:07

    naja...wie sicher muss es den sein, wenn ich als DNS den von Google benutze? Oder den meines Providers? Ich muss entweder Google oder meinem Provider trauen. Den am DNS-Server kann der Provider weiterhin mitlesen, was ich anfrage. TLS ist nur Transportverschlüsselung, verhindert damit praktisch nichts. Den zum DNS transportiert die Daten derjenige der auch den DNS betreibt bei 99% der Privatuser.

    So langsam wird es etwas affig mit der ganzen Verschlüsselei, mir kommt das so vor, als ob ich meinem Junior Samstag morgens eine verschlüsselte Liste mitgebe zum Bäcker um Brötchen zu kaufen. Damit keiner im Laden mitbekommt welche Brötchen ich bevorzuge.

    Nettes Feature, es mag vieleicht den einen oder anderen Nutzen geben, aber flächendeckend ist es recht sinnlos. Den wenn ein Staat will das ihr DNS benutzt wird weil sie dann ihre Menschen kontrollieren können, sperrt einfach jeden anderen DNS. Da er ausschliesslich über Port 53 erreichbar ist und es nicht viel Sinn macht, den Port zu verbiegen um Netzsperren zu umgehen, ist es keine Option Ports zu ändern.

  9. Re: wie sicher ist denn "sicher"

    Autor: My1 26.10.17 - 13:13

    mir gehts weniger um die verschlüsselung als um die siganturen seitens des Domaininhabers. beim classicDNS kann jeder MITM machen, bei DNS via TLS kann der Server entweder selbst böse sein (bspw weil staat) oder falsche quellen beziehen
    beide diese sachen sind relativ schwer mit DNSSec da die signatur des inhabers nötig ist um zu validieren, und die einzigen die diesen inhaber key anpassen können sind der Root (aber der root müsste dabei ggf die ganze TLD zone neu bauen) oder eben der TLD manager.

    Asperger inside(tm)

  10. Re: wie sicher ist denn "sicher"

    Autor: elcaron 26.10.17 - 16:34

    Nein, IMHO fällt das System nicht so einfach. Der Knackpunkt ist, dass ein Verrat der CA für den Client erkennbar ist und zumindest von einigen auch erkannt werden WIRD (weil sie z.B. eine Extension haben, die meldet, dass sich der Fingerprint des Schlüssels geändert hat, oder weil sie den FP ihres Zertifikates kennen).
    Wenn das auffällt, wird es publik und die CA ist mehr oder weniger verbrannt. Geheimdienste könnten also unterwanderte CAs für den großen Schuss auf Osama Bin Laden 2 verwenden, aber nicht für Massenüberwachung.

  11. Re: wie sicher ist denn "sicher"

    Autor: Anonymer Nutzer 26.10.17 - 16:45

    My1 schrieb:
    --------------------------------------------------------------------------------
    > die lösung ist ganz einfach, man sollte sich halt ne TLD nehmen
    > bei der man dem registrar bzw der registry vertrauen kann.

    und das kann man nicht ernsthaft, es sind einfach alle korrupt!

  12. Re: wie sicher ist denn "sicher"

    Autor: My1 26.10.17 - 16:48

    aber es reicht ja schon bestimmten auszuweichen je nach dem was man mit der domain macht. man kann sicher nicht allen ausweichen, true aber n paar reichen ja vlt schon da die anderen sich nicht für die domain/seite interessieren.

    Asperger inside(tm)

  13. Re: wie sicher ist denn "sicher"

    Autor: matzems 27.10.17 - 05:32

    Solange die NSA ganz offiziel via SeLinux in jedem Android Kernel fest integriert ist beudet sicher nur eins: "alles ist sicher, ausser vor der NSA".

  14. Re: wie sicher ist denn "sicher"

    Autor: ikhaya 27.10.17 - 08:41

    matzems schrieb:
    --------------------------------------------------------------------------------
    > Solange die NSA ganz offiziel via SeLinux in jedem Android Kernel fest
    > integriert ist beudet sicher nur eins: "alles ist sicher, ausser vor der
    > NSA".

    Du meinst also dass Dinge die im Quelltext vorliegen und von vielen Leuten überprüft wurden bevor sie in den Kernel eingehen unbrauchbar sind wenn einer der Beteiligten keine gute Reputation hat?

    >Other significant contributors include Red Hat, Network Associates, Secure Computing Corporation, Tresys Technology, and Trusted Computer Solutions.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Referent Rohdatenaufbereitung (w/m/d) Senior-Cyber-Security-Specia- list
    Gemeinsames Kompetenz- und Dienstleistungszentrum der Polizei, Leipzig
  2. (Senior) Software Entwickler C# (m/w/x)
    über grinnberg GmbH, Darmstadt
  3. PHP-Entwickler (m/w/d)
    RHIEM Intermedia GmbH, Voerde (Niederrhein)
  4. Softwareentwickler für Medizinprodukte (m/w/d)
    Ziehm Imaging GmbH, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Starter Edition für 5,99€, Marching Fire Edition für 11,50€, Complete Edition für 22...
  2. 21,24€
  3. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de