1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen…

@Golem: DANE nicht verstanden...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. @Golem: DANE nicht verstanden...

    Autor: Vanger 17.12.14 - 02:25

    Sorry, aber die Seite zu DANE enthält leider doch einigen Käse....

    Ja, DANE basiert auf DNSSEC. DNSSEC ist Voraussetzung für DANE. Inwiefern DNSSEC flächendeckend nutzbar wäre? Weiß keiner. Ich (und ich bin sicher nicht der einzige) haben schon mehrfach bei euch angefragt, ob ihr mal Journalisten spielen wollt und bei den einschlägigen Hostern nachfragt, inwieweit DNSSEC verfügbar ist - vollautomatisiert kann das wohl kaum ein Anbieter, wohl aber recht viele per Support-Anfrage.

    Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu übernehmen, nur der Client selbst. Schön wäre eine Integration ins Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder das Betriebssystem übernimmt ist letztlich egal.

    Dass sich die Browserhersteller gegen DANE sperren liegt auch einfach daran, dass DANE keine Lobby hat. Die kritische Masse fehlt. Die Browserhersteller integrieren es nicht, weil es die Serverbetreiber nicht nutzen. Die Serverbetreiber nutzen es nicht, weil die Browser es eh nicht unterstützen. Teufelskreis...

    DANE versucht nicht Key Pinning oder Certificate Transparency zu ersetzen. Das wurde nie behauptet. DANE möchte das CA-Infrastruktur für Nicht-EV-Zertifikate ersetzen. Mehr nicht. Genau da liegt aber ja auch die Krux von HTTPS begraben...

    Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine .de-Domain also konkret der DENIC und der Rootzone. Das Verfahren, das für die Rootzone angewendet wird, wurde so gestaltet, dass auch die NSA nicht einfach Einfluss nehmen kann. Ähnlich sieht es bei der DENIC aus. Die Verfahren sind von Beginn an so konzipiert worden, dass eine Geheimdienst-Intervention nicht ohne Öffentlichkeit möglich ist. Außerdem sind die zugehörigen Zertifikate extrem lange gültig - entsprechend gehören diese auch mehr oder weniger hardcoded in den Quellcode. Wird plötzlich ein unbekanntes Zertifikat verwendet, fällt das sofort auf.

    DANE ist deutlich weniger Mythos als das Thema Drittinhalte... Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon lange HTTPS haben...

  2. Re: @Golem: DANE nicht verstanden...

    Autor: damluk 17.12.14 - 08:28

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den
    > Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu
    > übernehmen, nur der Client selbst. Schön wäre eine Integration ins
    > Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User
    > benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder
    > das Betriebssystem übernimmt ist letztlich egal.

    Ich habe einen lokalen Bind aufgesetzt, um ein Validator Plugin für Firefox zu testen. Wenn ein solcher Validator irgendwann flächendeckend eingesetzt werden sollte, müsste man den Resolver-Cache über Reboots hinweg persistent halten - egal ob Bind oder browserintern. Ansonsten fragen zig Millionen Endgeräte nach jedem Reboot erst einmal die Rootserver nach DS Einträgen für diverse TLDs.

    > Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine
    > .de-Domain also konkret der DENIC und der Rootzone.

    Um welches Vertrauen an die Denic geht es da konkret? Dass jeder DS Query den korrekten KSK für eine Domain liefert? Wenn der statisch falsch wäre, würden das zig Enduser, und im Optimalfall das Monitoringsystem des Domainmesitzers, mitbekommen. Für eine gezielte Manipulation müsste die DENIC einen falschen zusätzlichen DS Record signieren und einstellen, der dann auch nur einer bestimmten Zielperson serviert wird. Die Hemmschwelle dafür halte ich um einiges höher als einfach zusätzliche Intermediate CA Zertifikate oder Domainzertifikate zu erzeugen und an Dritte weiterzugeben.

  3. Re: @Golem: DANE nicht verstanden...

    Autor: DNAofDeath 17.12.14 - 09:34

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen
    > - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per
    > HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist
    > klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre
    > Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon
    > lange HTTPS haben...

    Wenigstens EINER ausser mir dem sowas auffällt.

  4. Re: @Golem: DANE nicht verstanden...

    Autor: ikhaya 17.12.14 - 09:45

    Der Rest nutzt halt kein Golem Pur :)
    Teile der Seite sind ja schon erreichbar per TLS, wie die Videos.
    Es ist also offenbar schon in Arbeit, wenn es auch verdammt lange braucht.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Leiter*in der IT-Abteilung (m/w/d) Bereich IT-Service-Management
    THOST Projektmanagement GmbH, Pforzheim
  2. Trainer:in (m/w/d) - für den Bereich SAP HCM
    WBS GRUPPE, deutschlandweit (Home-Office)
  3. Doktorand (m/w/d) Nachhaltige Fertigungsregelung - simulationsbasiert mit digitalem Zwilling ... (m/w/d)
    Technische Hochschule Ingolstadt, Ingolstadt
  4. Software Engineer (gn*) für SFA/MES Automation
    Siltronic AG, Burghausen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Assassin's Creed: Origins für 18,33€, Ghostwire Tokyo für 26,99€, Control Ultimate...
  2. 19€ (günstig wie nie, UVP 104€)
  3. 129€ (UVP 189€)
  4. 59,99€ (UVP 99,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bowers & Wilkins PX7 S2 im Test: Guter ANC-Kopfhörer für windstille Tage
Bowers & Wilkins PX7 S2 im Test
Guter ANC-Kopfhörer für windstille Tage

Der PX7 S2 von Bowers & Wilkins ist ein guter ANC-Kopfhörer, der sich im Test mit einer starken Konkurrenz von sechs ANC-Kopfhörern beweisen muss.
Ein Test von Ingo Pakalski

  1. Nuratrue Pro Nura bringt neue In-Ears mit 3D-Sound und Lossless-Audio
  2. Master & Dynamic MW75 ANC-Kopfhörer mit Knopfsteuerung kostet 600 Euro
  3. Dyson Zone ANC-Kopfhörer hat einen eingebauten Luftreiniger

Ferngesteuertes Auto ausprobiert: Wenn 4G für das Autofahren nicht ausreicht
Ferngesteuertes Auto ausprobiert
Wenn 4G für das Autofahren nicht ausreicht

Der Carsharing-Anbieter Elmo zeigt uns seine Lösung für ferngesteuertes Fahren in Städten und stößt dabei an die Grenzen der deutschen Mobilfunknetze.
Ein Bericht von Martin Wolf

  1. EU-Verkehrsminister Lkw-Ladepunkte an allen wichtigen Straßen bis 2030
  2. Bloomberg Die Revolution in der E-Mobilität auf zwei Rädern
  3. Elektromobilität Produktion von Elektroautos ist 2021 stark gestiegen

Technics EAH-A800 im Praxistest: Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer
Technics EAH-A800 im Praxistest
Tolle faltbare Alternative zu Sonys Oberklasse-Kopfhörer

Technics' neuer ANC-Kopfhörer EAH-A800 ist eine der besten Alternativen zu Sonys Oberklasse-Kopfhörer WH-1000XM5. Im Bereich Akkulaufzeit liefert er sogar Spitzenleistung.
Ein Test von Ingo Pakalski