1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Chrome will HTTP Public Key…

Bringt denn der DNS CAA Eintrag auch nichts?

  1. Thema

Neues Thema Ansicht wechseln


  1. Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: Decstasy 29.10.17 - 13:09

    Bei vielen ist der DNS CAA (Certification Authority Authorization) Eintrag noch nicht bekannt. Bei vielen Domain / DNS Anbietern kann man derartiges noch nicht in das Zone-File aufnehmen. War das auch wieder ein Schuss in den Ofen, um die Sicherheit zu erhöhen?

  2. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: OlafLostViking 29.10.17 - 13:31

    CAA ist lediglich für CAs selber gedacht. D.h. eine kooperative CA würde sich dann (optional) bei Dir melden, wenn ein Zertifikat für Deine Domain bei ihr beantragt würde, obwohl Du das nicht willst. Bei Deiner legitimierten CA könnte natürlich weiterhin "jeder" Zertifikate für Deine Domain beantragen. (Immer vorausgesetzt, derjenige könnte - wieso auch immer - die Verifizierungen bestehen.)

    Für Client-seitige Überprüfungen ist DANE gedacht, welches ähnlich wie HPKP die CA oder eben Dein Zertifikat pinned. Das aber eben auf einem getrennten Kanal (DNS statt Webserver), was ich auch für sinnvoll erachte. Zudem optimalerweise gesichert durch DNSSEC (Diskussion über Sinnhaftitgkeit oder Vertrauen in das System ausgeblendet), was ich persönlich so auch handhabe.

    HTH

  3. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: hannob (golem.de) 29.10.17 - 14:41

    CAA ist ein bißchen eine andere Baustelle. Gegen bösartige CAs kann CAA nichts ausrichten, es hilft nur im Fall von Bugs bei der Domainvalidierung den Impact zu begrenzen.

    Ich halte CAA durchaus für sinnvoll, da es relativ einfach einzurichten ist und im Grunde keine besonderen Risiken hat. Aber es ist nicht direkt mit HPKP oder CT vergleichbar, da es auf andere Probleme abzielt.

  4. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: Anonymer Nutzer 29.10.17 - 15:45

    hpkp ist von den drei die einzige funktionierende, passive methode die fälschliche ausstellung von zertifikaten unschädlich zu machen.

    caa ist zwar auch passiv, hilft aber nur bedingt, da der bug zum falschen ausstellen des zertifikats vor der caa prüfung auftauchen muss. tut er es danach, ist caa nutzlos. außerdem kann caa die absichtliche ausstellung gefälschter zertifikate nicht verhindern. z.b. zwecks überwachung.

    certificate transparency ist eine sehr gute idee, aber keineswegs passiv. jeder domaininhaber muss aktiv die listen verfolgen und erkennen, wenn ein zertifikat fälschlich für seine domain ausgestellt wurden. darf ich mal nachfragen, ob du das für deine domains schon tust? per daemon, cron, timer unit oder was auch immer?

    genau das ist eben das problem, wenn man dinge nicht weiter denkt als nur zum text von google. siehe dns über tls. schlussendlich müssen wir halt eines zugeben: wir haben, was sicherheit anbelangt aufgegeben. anstatt das maximum an sicherheit zu wollen, sind wir mit dem minimum schon zufrieden. alles andere übersteigt offensichtlich die fähigkeiten der (selbsternannten) it-experten, die dann hier aber beim nächsten artikel über gehälter wieder meinen, unter 5000 euro würden sie nicht mal aufstehen.

  5. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: hannob (golem.de) 29.10.17 - 15:56

    bjs schrieb:
    --------------------------------------------------------------------------------
    > certificate transparency ist eine sehr gute idee, aber keineswegs passiv.
    > jeder domaininhaber muss aktiv die listen verfolgen und erkennen, wenn ein
    > zertifikat fälschlich für seine domain ausgestellt wurden. darf ich mal
    > nachfragen, ob du das für deine domains schon tust?

    Ja, per certspotter [1] und facebook [2]. (Ja, ich weiß, ich vertraue dabei auf thirdparty-services.)

    [1] https://sslmate.com/certspotter/
    [2] https://www.facebook.com/notes/protect-the-graph/introducing-our-certificate-transparency-monitoring-tool/1811919779048165/

  6. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: Anonymer Nutzer 29.10.17 - 16:12

    immerhin. wieviele tun dies aber nicht? hpkp gibt die mögichkeit, dass es direkt bei jedem aufruf der webseite geprüft wird. in echtzeit ohne jegliche verzögerung. und ohne, dass der besucher der seite oder auch der betreiber aktiv etwas tun müssen. alle zwei oder drei jahre muss der pin geändert werden, was bei meiner apache konfiguration aber beispiels automatisch passiert, da der pin direkt aus dem vorliegenen zertifikat ausgelesen wird. bei jedem start neu. das system funktioniert einwandfrei seit vielen jahren ohne auch je nur das anzeichen eines problems gemacht zu haben. aber so dinge wie scripte sind mittlerweile schon zu kompliziert... traurig.

    der vorteil des ganzen ist nun mal, dass ich hier zusätzliche verantwortung übernehme und sie nicht auf eine ca ganz auslagere. die besucher meiner webseiten sind sich dessen logischerweise gar nicht bewusst, aber ich bin es und es gehört zu meinem beurfsethos, nicht nur das minimum zu leisten. aber vielleicht sollte ich diese einstellung gründlich überdenken. immerhini geht es auch ohne.

  7. Re: Bringt denn der DNS CAA Eintrag auch nichts?

    Autor: Schnarchnase 30.10.17 - 09:00

    OlafLostViking schrieb:
    --------------------------------------------------------------------------------
    > Für Client-seitige Überprüfungen ist DANE gedacht, welches ähnlich wie HPKP
    > die CA oder eben Dein Zertifikat pinned.

    Ja DANE ist aktuell die beste Lösung die wir haben, allerdings ist das kein Pinning, da das Zertifikat und der DNS-Record jedes mal geprüft werden. Probleme wie bei HPKP entfallen somit.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. neam IT-Services GmbH, Paderborn
  3. operational services GmbH & Co. KG, Frankfurt am Main
  4. Comline AG, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

  1. Mobile Betriebssysteme: Apple veröffentlicht iOS 13.3 und iPad OS 13.3
    Mobile Betriebssysteme
    Apple veröffentlicht iOS 13.3 und iPad OS 13.3

    Apple hat neue Betriebssystem-Updates für iPhones, iPads und den iPod touch vorgestellt. IOS 13.3 und iPad OS 13.3 enthalten Verbesserungen, Fehlerbehebungen und zusätzliche Sicherungseinstellungen für Kinder.

  2. Rechenzentren: 5G lässt Energiebedarf stark ansteigen
    Rechenzentren
    5G lässt Energiebedarf stark ansteigen

    Laut einer Studie im Auftrag von Eon heizt 5G die drohende globale Umweltkatastrophe weiter an. Schuld sind Edge Computing, Campusnetze, Industrie 4.0 und die Folgen für die Rechenzentren.

  3. Elektromobilität: EnBW testet Lademanagement in Tiefgaragen
    Elektromobilität
    EnBW testet Lademanagement in Tiefgaragen

    Welche Lastfälle treten in einer komplett elektrifizierten Tiefgarage auf? Die Bewohner einer Wohnanlage in Baden-Württemberg können dieses Zukunftsszenario mit 45 Elektroautos schon einmal testen.


  1. 22:13

  2. 18:45

  3. 18:07

  4. 17:40

  5. 16:51

  6. 16:15

  7. 16:01

  8. 15:33