Dane

Was ist DANE (DNS-based Authentication of Named Entities)?

DANE (DNS-based Authentication of Named Entities) erweitert die Verschlüsselung SSL/TLS und sichert den Datenverkehr zusätzlich ab. Mit DANE sollen verwendete Zertifikate nicht unbemerkt austauschbar sein, was die Sicherheit beim Zugriff auf Webseiten steigert. Der im Januar 2014 verabschiedete Standard bietet eine Verifikation unabhängig von einer kompromittierenden Zertifikatsstelle und ermöglicht die Validierung selbst signierter Zertifikate.

Wie schützt DANE?

Zum Schutz vor unbefugtem Zertifikatsaustausch erfolgt die Verknüpfung von X.509-Zertifikaten mit DNS-Einträgen. Die Sicherung der Verknüpfung findet per DNSSEC (DNS-Security Extensions) statt. Durch die Verwendung von DANE können Website-Betreiber selbst Zertifikate ausstellen und müssen für ein Zertifikat nicht erst eine vorhandene Zertifizierungsstelle kontaktieren. Hat der Webmaster einen TLSA-Record im DNS hinterlegt, sehen Anwender im Browser zwei grüne Icons, die anzeigen, dass alles in Ordnung ist. Sind die Icons nicht grün, sollte der Anwender der SSL-Verschlüsselung nicht vertrauen.

Welches Problem löst DANE?

Für die sichere HTTPS-Verbindung zwischen Client und Server kommen Zertifikate zum Einsatz. Die Zertifikate werden von einer Zertifizierungsstelle ausgegeben. In der Vergangenheit kam es jedoch mehrfach zu Zwischenfällen mit Zertifizierungsstellen, die von den Browsern fälschlicherweise als sicher eingestuft wurden. DANE setzt an diesem Problem an, bei dem Standard hinterlegt der Server-Administrator das gültige Zertifikat als TLSA-Record im DNS-Eintrag der Domain. Ist die Domain mit DNSSEC gesichert, lässt sich die Gültigkeit des Zertifikats validieren und Man-in-the-Middle-Angriffe sind schwieriger durchführbar.