Willkommen im User-Forum von mailbox.org
 

Aufhören, DNSSEC und DANE zu unterstützen

GenitivSeinVater hat dies geteilt, 4 Monaten her
veröffentlicht

Das Konzept von DNSSEC dürfte den meisten bekannt sein: Vereinfacht gesagt gibt es einen Root Key, der in einer Key-Zeremonie von mehreren Leuten generiert wird, die von der ICANN akkreditiert wurden. Mit diesen Keys werden dann einzelne TLD-Zonen signiert und diese TLD Zonen können dann wiederum einzelne Domains und die DNS-Records signieren. Man hat eine "Chain of Trust", d.h. es müssen allen Entitäten vertraut werden, die in der Hierarchie über einem sind.

Bei DANE werden Zertifikate in diese signierten Zonen gepackt, der Resolver kann überprüfen, ob die Verschlüsselung mit dem Server valide ist.

Es gibt hier jedoch einige Probleme, die in diesem Blogartikel erläutert werden: https://sockpuppet.org/blog/2015/01/15/against-dnssec/

Das wichtigste Problem ist meiner Meinung nach, dass die Organisation, die z.B. .org verwaltet, im Auftrag einer anderen Organisation für z.B. mailbox.org einen korrumpierten Record signiert. In diesem Fall könnte man selbst nach Entdecken dieses Problems nichts machen. Man kann ja nicht den Root-Key ändern.

Meiner Meinung nach ist es fahrlässig, dieses "Sicherheits"feature zu unterstützen und damit zur weiteren Verbreitung beizutragen.

Kommentare (1)

Foto
1

Inwiefern fahrlässig? Kennst du ein (Angriffs)Szenario, das durch DNSSEC und DANE möglich ist (bzw. erst ermöglicht wird), aber ohne nicht? Verschlüssele halt deine E-Mails mit GnuPG oder S/MIME.

Foto
1

1) DDOS

2) meiner Meinung nach baut man Security Funktionen dann ein, wenn man sich auf sie verlassen kann bzw. sie den Ansprüchen genügen. DNSSEC genügt nicht (wie ich das oben angeführt habe). Und das ist fahrlässig, meiner Meinung nach. Man kann es auch "Security Theater" nennen.

3) Verschlüsselung meiner Mails mit GnuPG oder S/MIME schützt mich nicht vor einem Leak des Passworts. Email ist ein unsicheres Kommunikationsmedium - es ist aber dumm, irgendwelche fake Security Funktionen da drauf zu packen.

Dieser Vortrag erklärt das auch ganz unterhaltsam.

Foto
1

Ein Blog Eintrag von 2015 und ein Video von 2010? Gibt es dazu auch was Aktuelles?

Foto
1

Also an dem Grundprinzip hat sich nichts geändert. Mal ganz abgesehen davon, dass es ziemlich schwer sein wird, in Zukunft noch was daran zu ändern.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen