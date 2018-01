(Bild: Dusan Zivadinovic)

Das eintägige Seminar in Hannover vermittelt professionelles Know-how für den Einsatz der DANE-Technik. Damit sichern Administratoren TLS-Zertifikate weit zuverlässiger gegen Missbrauch ab als herkömmlich über Zertifizierungsstellen.

DANE ist eine moderne, von der Internet Engineering Task Force standardisierte Technik zur Absicherung von TLS-Zertifikaten. Der wichtigste Vorteil gegenüber Zertifizierungsstellen liegt darin, dass für DANE ausgelegte Tools und Clients einen kryptografischen Schlüssel automatisch nur aus der angefragten Domain beziehen – es gibt also nur noch eine Quelle für den Schlüssel und nicht wie bisher beliebig viele. Der digitale Fingerabdruck eines TLS-Zertifikats wird aus dem DNS bezogen, sodass die Seite, die eine Verbindung aufbaut, vorher schon weiß, woran sie das richtige Zertifikat erkennt. Auf dem Transportweg wird der Fingerabdruck mittels DNSSEC abgesichert.

Im Workshop vermitteln zwei Referenten zunächst Grundlagen zu DNSSEC und DANE. Anschließend zeigen sie konkret, wie Sie DNSSEC einrichten, die Absicherung testen und gegebenenfalls Fehlerursachen finden und beseitigen. Grundlage dabei ist der DNS-Servers BIND 9. Im zweiten Teil zeigen die Referenten anhand von Beispielen, wie TLS-Schlüssel per DANE abgesichert werden. Grundlage ist der freie Mailserver Postfix. Zu den Inhalten gehören die technischen Grundlagen der BSI-Richtlinie TR3108 "Sicherer E-Mail-Transport", TLS-Konfiguration des SMTP-Servers und die Einrichtung der User-seitigen Mail-Verschlüsselung per PGP- oder S/MIME.

Die Teilnehmerzahl ist auf 20 begrenzt. Der Workshop richtet sich an DNS- und Mail-Administratoren, Sicherheitsbeauftragte in Unternehmen sowie Auditoren für Netzwerksicherheit. Er findet in Hannover am 27. Februar 2018 statt. Weitergehende Informationen sind auf der Workshop-Website zu finden. Ein Frühbucherrabatt ist noch am heutigen 16. Januar 2017 erhältlich.

DANE im Überblick

Verschlüsselte Kommunikation verhindert unerwünschtes Mitlesen durch Dritte und schützt die Privatsphäre zwischen zwei Kommunikationspartnern. Dafür setzt man häufig kryptografische Schlüssel ein. Einem Schlüssel sieht man aber nicht an, wem er gehört. Bei der TLS-Technik sollen eigentlich X.509-Zertifikate die Authentizität der Schlüssel und der Eigner beglaubigen. Das klappt aber nicht zuverlässig, weil jede Zertifizierungsstelle Zertifikate für jede beliebige Domain ausstellen darf – auch ohne Einverständnis des Domain-Eigners. Außerdem sind die Zertifizierungsstellen wegen Sicherheitslücken in deren IT-Systemen und auch wegen Misswirtschaft in Verruf geraten.

Mit DANE beschränkt man die Anzahl der Schlüsselquellen auf eine einzige. Und weil bei DANE der digitale Fingerabdruck eines TLS-Zertifikats im Domain Name System hinterlegt wird, lassen sich Man-in-the-Middle-Attacken vereiteln. Auch behalten die Eigner die Kontrolle, können Schlüssel also ersetzen oder entfernen. Anders als bei x.509-Zertifikaten genügt es nicht, eine Ausgabestelle zu kapern. Um einen DANE-abgesicherten Schlüssel zu manipulieren müsste gleich das gesamte DNSSEC manipuliert werden. (dz)