Aufhören, DNSSEC und DANE zu unterstützen
Das Konzept von DNSSEC dürfte den meisten bekannt sein: Vereinfacht gesagt gibt es einen Root Key, der in einer Key-Zeremonie von mehreren Leuten generiert wird, die von der ICANN akkreditiert wurden. Mit diesen Keys werden dann einzelne TLD-Zonen signiert und diese TLD Zonen können dann wiederum einzelne Domains und die DNS-Records signieren. Man hat eine "Chain of Trust", d.h. es müssen allen Entitäten vertraut werden, die in der Hierarchie über einem sind.
Bei DANE werden Zertifikate in diese signierten Zonen gepackt, der Resolver kann überprüfen, ob die Verschlüsselung mit dem Server valide ist.
Es gibt hier jedoch einige Probleme, die in diesem Blogartikel erläutert werden: https://sockpuppet.org/blog/2015/01/15/against-dnssec/
Das wichtigste Problem ist meiner Meinung nach, dass die Organisation, die z.B. .org verwaltet, im Auftrag einer anderen Organisation für z.B. mailbox.org einen korrumpierten Record signiert. In diesem Fall könnte man selbst nach Entdecken dieses Problems nichts machen. Man kann ja nicht den Root-Key ändern.
Meiner Meinung nach ist es fahrlässig, dieses "Sicherheits"feature zu unterstützen und damit zur weiteren Verbreitung beizutragen.
Inwiefern fahrlässig? Kennst du ein (Angriffs)Szenario, das durch DNSSEC und DANE möglich ist (bzw. erst ermöglicht wird), aber ohne nicht? Verschlüssele halt deine E-Mails mit GnuPG oder S/MIME.
Inwiefern fahrlässig? Kennst du ein (Angriffs)Szenario, das durch DNSSEC und DANE möglich ist (bzw. erst ermöglicht wird), aber ohne nicht? Verschlüssele halt deine E-Mails mit GnuPG oder S/MIME.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.