1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

@Golem: DANE nicht verstanden...

  1. Thema

Neues Thema Ansicht wechseln


  1. @Golem: DANE nicht verstanden...

    Autor: Vanger 17.12.14 - 02:25

    Sorry, aber die Seite zu DANE enthält leider doch einigen Käse....

    Ja, DANE basiert auf DNSSEC. DNSSEC ist Voraussetzung für DANE. Inwiefern DNSSEC flächendeckend nutzbar wäre? Weiß keiner. Ich (und ich bin sicher nicht der einzige) haben schon mehrfach bei euch angefragt, ob ihr mal Journalisten spielen wollt und bei den einschlägigen Hostern nachfragt, inwieweit DNSSEC verfügbar ist - vollautomatisiert kann das wohl kaum ein Anbieter, wohl aber recht viele per Support-Anfrage.

    Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu übernehmen, nur der Client selbst. Schön wäre eine Integration ins Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder das Betriebssystem übernimmt ist letztlich egal.

    Dass sich die Browserhersteller gegen DANE sperren liegt auch einfach daran, dass DANE keine Lobby hat. Die kritische Masse fehlt. Die Browserhersteller integrieren es nicht, weil es die Serverbetreiber nicht nutzen. Die Serverbetreiber nutzen es nicht, weil die Browser es eh nicht unterstützen. Teufelskreis...

    DANE versucht nicht Key Pinning oder Certificate Transparency zu ersetzen. Das wurde nie behauptet. DANE möchte das CA-Infrastruktur für Nicht-EV-Zertifikate ersetzen. Mehr nicht. Genau da liegt aber ja auch die Krux von HTTPS begraben...

    Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine .de-Domain also konkret der DENIC und der Rootzone. Das Verfahren, das für die Rootzone angewendet wird, wurde so gestaltet, dass auch die NSA nicht einfach Einfluss nehmen kann. Ähnlich sieht es bei der DENIC aus. Die Verfahren sind von Beginn an so konzipiert worden, dass eine Geheimdienst-Intervention nicht ohne Öffentlichkeit möglich ist. Außerdem sind die zugehörigen Zertifikate extrem lange gültig - entsprechend gehören diese auch mehr oder weniger hardcoded in den Quellcode. Wird plötzlich ein unbekanntes Zertifikat verwendet, fällt das sofort auf.

    DANE ist deutlich weniger Mythos als das Thema Drittinhalte... Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon lange HTTPS haben...

  2. Re: @Golem: DANE nicht verstanden...

    Autor: damluk 17.12.14 - 08:28

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den
    > Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu
    > übernehmen, nur der Client selbst. Schön wäre eine Integration ins
    > Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User
    > benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder
    > das Betriebssystem übernimmt ist letztlich egal.

    Ich habe einen lokalen Bind aufgesetzt, um ein Validator Plugin für Firefox zu testen. Wenn ein solcher Validator irgendwann flächendeckend eingesetzt werden sollte, müsste man den Resolver-Cache über Reboots hinweg persistent halten - egal ob Bind oder browserintern. Ansonsten fragen zig Millionen Endgeräte nach jedem Reboot erst einmal die Rootserver nach DS Einträgen für diverse TLDs.

    > Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine
    > .de-Domain also konkret der DENIC und der Rootzone.

    Um welches Vertrauen an die Denic geht es da konkret? Dass jeder DS Query den korrekten KSK für eine Domain liefert? Wenn der statisch falsch wäre, würden das zig Enduser, und im Optimalfall das Monitoringsystem des Domainmesitzers, mitbekommen. Für eine gezielte Manipulation müsste die DENIC einen falschen zusätzlichen DS Record signieren und einstellen, der dann auch nur einer bestimmten Zielperson serviert wird. Die Hemmschwelle dafür halte ich um einiges höher als einfach zusätzliche Intermediate CA Zertifikate oder Domainzertifikate zu erzeugen und an Dritte weiterzugeben.

  3. Re: @Golem: DANE nicht verstanden...

    Autor: DNAofDeath 17.12.14 - 09:34

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen
    > - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per
    > HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist
    > klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre
    > Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon
    > lange HTTPS haben...

    Wenigstens EINER ausser mir dem sowas auffällt.

  4. Re: @Golem: DANE nicht verstanden...

    Autor: ikhaya 17.12.14 - 09:45

    Der Rest nutzt halt kein Golem Pur :)
    Teile der Seite sind ja schon erreichbar per TLS, wie die Videos.
    Es ist also offenbar schon in Arbeit, wenn es auch verdammt lange braucht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Ingenieur / Geograf (w/m/d) (FH-Diplom / Bachelor) Schwerpunktaufgaben Radwegweisung und GIS in der Radwegweisung
    Hessen Mobil - Straßen- und Verkehrsmanagement, Marburg
  2. SAP FI/CO Berater (m/w/x)
    über duerenhoff GmbH, Coburg
  3. Mitarbeiterin / Mitarbeiter (w/m/d) Systembetreuung mit Schwerpunkt Buchhaltung
    Berliner Stadtreinigungsbetriebe (BSR), Berlin
  4. Group IT Business Continuity Manager (m/w/d)
    DAW SE, Ober-Ramstadt bei Darmstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. GIGABYTE GeForce RTX 3070 Ti GAMING OC LHR für 1.149€)
  2. (u. a. GeForce RTX 3070 Ti Gaming X Trio 8G LHR für 1.214,21€)
  3. (u. a. LG 75NANO999NA NanoCell 75 Zoll LCD 8K für 2.699€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Army of the Dead: Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies
    Army of the Dead
    Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies

    Army of the Dead bei Netflix zeigt Zombies und Gewalt. Viele Zuschauer erschrecken jedoch viel mehr wegen toter Pixel auf ihrem Fernseher.
    Ein Bericht von Daniel Pook

    1. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
    2. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit
    3. Urteil rechtskräftig Netflix darf Preise nicht beliebig erhöhen

    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum