1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen…

@Golem: DANE nicht verstanden...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. @Golem: DANE nicht verstanden...

    Autor: Vanger 17.12.14 - 02:25

    Sorry, aber die Seite zu DANE enthält leider doch einigen Käse....

    Ja, DANE basiert auf DNSSEC. DNSSEC ist Voraussetzung für DANE. Inwiefern DNSSEC flächendeckend nutzbar wäre? Weiß keiner. Ich (und ich bin sicher nicht der einzige) haben schon mehrfach bei euch angefragt, ob ihr mal Journalisten spielen wollt und bei den einschlägigen Hostern nachfragt, inwieweit DNSSEC verfügbar ist - vollautomatisiert kann das wohl kaum ein Anbieter, wohl aber recht viele per Support-Anfrage.

    Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu übernehmen, nur der Client selbst. Schön wäre eine Integration ins Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder das Betriebssystem übernimmt ist letztlich egal.

    Dass sich die Browserhersteller gegen DANE sperren liegt auch einfach daran, dass DANE keine Lobby hat. Die kritische Masse fehlt. Die Browserhersteller integrieren es nicht, weil es die Serverbetreiber nicht nutzen. Die Serverbetreiber nutzen es nicht, weil die Browser es eh nicht unterstützen. Teufelskreis...

    DANE versucht nicht Key Pinning oder Certificate Transparency zu ersetzen. Das wurde nie behauptet. DANE möchte das CA-Infrastruktur für Nicht-EV-Zertifikate ersetzen. Mehr nicht. Genau da liegt aber ja auch die Krux von HTTPS begraben...

    Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine .de-Domain also konkret der DENIC und der Rootzone. Das Verfahren, das für die Rootzone angewendet wird, wurde so gestaltet, dass auch die NSA nicht einfach Einfluss nehmen kann. Ähnlich sieht es bei der DENIC aus. Die Verfahren sind von Beginn an so konzipiert worden, dass eine Geheimdienst-Intervention nicht ohne Öffentlichkeit möglich ist. Außerdem sind die zugehörigen Zertifikate extrem lange gültig - entsprechend gehören diese auch mehr oder weniger hardcoded in den Quellcode. Wird plötzlich ein unbekanntes Zertifikat verwendet, fällt das sofort auf.

    DANE ist deutlich weniger Mythos als das Thema Drittinhalte... Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon lange HTTPS haben...

  2. Re: @Golem: DANE nicht verstanden...

    Autor: damluk 17.12.14 - 08:28

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Das DNS-Resolver-Problem von DNSSEC ist ein Mythos. Provider kommen den
    > Prinzipien von DNSSEC folgend überhaupt nicht in Frage die Verifikation zu
    > übernehmen, nur der Client selbst. Schön wäre eine Integration ins
    > Betriebssystem, irgendwie notwendig ist die aber nicht - Otto-Normal-User
    > benutzt sowieso nur einen Browser, ob diese Aufgabe nun der Browser oder
    > das Betriebssystem übernimmt ist letztlich egal.

    Ich habe einen lokalen Bind aufgesetzt, um ein Validator Plugin für Firefox zu testen. Wenn ein solcher Validator irgendwann flächendeckend eingesetzt werden sollte, müsste man den Resolver-Cache über Reboots hinweg persistent halten - egal ob Bind oder browserintern. Ansonsten fragen zig Millionen Endgeräte nach jedem Reboot erst einmal die Rootserver nach DS Einträgen für diverse TLDs.

    > Vertrauen muss man nur den im Domain-Tree übergeordneten Stellen. Für eine
    > .de-Domain also konkret der DENIC und der Rootzone.

    Um welches Vertrauen an die Denic geht es da konkret? Dass jeder DS Query den korrekten KSK für eine Domain liefert? Wenn der statisch falsch wäre, würden das zig Enduser, und im Optimalfall das Monitoringsystem des Domainmesitzers, mitbekommen. Für eine gezielte Manipulation müsste die DENIC einen falschen zusätzlichen DS Record signieren und einstellen, der dann auch nur einer bestimmten Zielperson serviert wird. Die Hemmschwelle dafür halte ich um einiges höher als einfach zusätzliche Intermediate CA Zertifikate oder Domainzertifikate zu erzeugen und an Dritte weiterzugeben.

  3. Re: @Golem: DANE nicht verstanden...

    Autor: DNAofDeath 17.12.14 - 09:34

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Werbeanbieter die kein HTTPS anbieten gehören aus dem Portfolio geschmissen
    > - so einfach ist das. Es gibt durchaus Anbieter die ihre Inhalte auch per
    > HTTPS ausliefern... Dass das von heute auf morgen nicht möglich ist, ist
    > klar - aber in den vielen Jahren, die Golem nun schon verspricht ihre
    > Inhalte per HTTPS auszuliefern, sehr wohl. "Golem Pur" könnte auch schon
    > lange HTTPS haben...

    Wenigstens EINER ausser mir dem sowas auffällt.

  4. Re: @Golem: DANE nicht verstanden...

    Autor: ikhaya 17.12.14 - 09:45

    Der Rest nutzt halt kein Golem Pur :)
    Teile der Seite sind ja schon erreichbar per TLS, wie die Videos.
    Es ist also offenbar schon in Arbeit, wenn es auch verdammt lange braucht.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Wissenschaftliche*n Mitarbeiter*in (w/m/d) im Lehrgebiet Programmiersysteme
    FernUniversität in Hagen, Hagen
  2. Data Discovery Analyst (w/m/d)
    Bundeskartellamt, Bonn
  3. Systemadministration (m/w/d) Netzwerke/IT-Sicherheit
    Fachhochschule Südwestfalen, Meschede, Hagen
  4. SAP IS-Retail Berater Job (m/w/x) mit Fokus SAP SD/MM Stammdaten, Konditionen & Aktionen
    über duerenhoff GmbH, Raum Mannheim

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 3.695€ (günstig wie nie, statt 3.983€, UVP 6.299€)
  2. 122€
  3. 169,99€
  4. CPU-Kühler & Tower-Gehäuse


Haben wir etwas übersehen?

E-Mail an news@golem.de


CPU, Docsis, WLAN, DECT, Antennen: Das Innenleben der Fritzbox 6690 Cable
CPU, Docsis, WLAN, DECT, Antennen
Das Innenleben der Fritzbox 6690 Cable

Da lässt sich doch noch mehr rausholen, oder? Wir haben eine Fritzbox 6690 Cable auseinandergenommen und Antennen, CPU und einiges mehr inspiziert.
Eine Anleitung von Harald Karcher

  1. AVM ISDN an der Fritzbox 7590 AX wird langsam verschwinden
  2. FritzOS 7.25 Telekom schaltet Telefonie auf nicht aktuellen Fritzboxen ab
  3. AVM Fritzbox 4060 funkt nach Wi-Fi 6 und in drei Frequenzbändern

Nichelle Nichols ist tot: Sie war viel mehr als Uhura
Nichelle Nichols ist tot
Sie war viel mehr als Uhura

Nichelle Nichols' bekannteste Rolle war die der Lt. Uhura - Nichols Bedeutung war aber auch elementar bei der Rekrutierung von Frauen und Afroamerikanern für die Nasa.
Ein Nachruf von Tobias Költzsch

  1. Scifi-Autor und Wissenschaftler Herbert W. Franke ist tot
  2. Dave Smith "Vater von Midi" mit 72 Jahren verstorben
  3. Stephen Wilhite Erfinder des Gif-Formats gestorben

Signalübertragung erklärt: Wie der Netflix-Stream vom Router zum Fernseher kommt
Signalübertragung erklärt
Wie der Netflix-Stream vom Router zum Fernseher kommt

In der modernen Kommunikationswelt werden permanent Signale übertragen. Wir erklären anhand eines Streams, was mit den Daten zwischen Router und TV-Gerät genau passiert.
Von Michael Kohler

  1. WLAN erklärt So erreichen Funknetzwerke Gigabit-Datenraten
  2. 802.11be Qualcomm steigt in die Welt von Wi-Fi 7 ein
  3. Im Maschinenraum Die Funktechnik hinter WLAN