Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.700.910 Produkten

Dusan Zivadinovic 3

heise-Angebot Workshop Securing Security: Noch Plätze frei

Workshop Securing Security: Noch Plätze frei

Bild: Dusan Zivadinovic

Das eintägige Seminar in Hannover vermittelt professionelles Know-how für den Einsatz der DANE-Technik. Damit sichern Administratoren TLS-Zertifikate weit zuverlässiger gegen Missbrauch ab als herkömmlich über Zertifizierungsstellen.

DANE ist eine moderne, von der Internet Engineering Task Force standardisierte Technik zur Absicherung von TLS-Zertifikaten. Der wichtigste Vorteil gegenüber Zertifizierungsstellen liegt darin, dass für DANE ausgelegte Tools und Clients einen kryptografischen Schlüssel automatisch nur aus der angefragten Domain beziehen – es gibt also nur noch eine Quelle für den Schlüssel und nicht wie bisher beliebig viele. Der digitale Fingerabdruck eines TLS-Zertifikats wird aus dem DNS bezogen, sodass die Seite, die eine Verbindung aufbaut, vorher schon weiß, woran sie das richtige Zertifikat erkennt. Auf dem Transportweg wird der Fingerabdruck mittels DNSSEC abgesichert.

Anzeige

Im Workshop vermitteln zwei Referenten zunächst Grundlagen zu DNSSEC und DANE. Anschließend zeigen sie konkret, wie Sie DNSSEC einrichten, die Absicherung testen und gegebenenfalls Fehlerursachen finden und beseitigen. Grundlage dabei ist der DNS-Servers BIND 9. Im zweiten Teil zeigen die Referenten anhand von Beispielen, wie TLS-Schlüssel per DANE abgesichert werden. Grundlage ist der freie Mailserver Postfix. Zu den Inhalten gehören die technischen Grundlagen der BSI-Richtlinie TR3108 "Sicherer E-Mail-Transport", TLS-Konfiguration des SMTP-Servers und die Einrichtung der User-seitigen Mail-Verschlüsselung per PGP- oder S/MIME.

Die Teilnehmerzahl ist auf 20 begrenzt. Der Workshop richtet sich an DNS- und Mail-Administratoren, Sicherheitsbeauftragte in Unternehmen sowie Auditoren für Netzwerksicherheit. Er findet in Hannover am 27. Februar 2018 statt. Weitergehende Informationen sind auf der Workshop-Website zu finden. Ein Frühbucherrabatt ist noch am heutigen 16. Januar 2017 erhältlich.

Verschlüsselte Kommunikation verhindert unerwünschtes Mitlesen durch Dritte und schützt die Privatsphäre zwischen zwei Kommunikationspartnern. Dafür setzt man häufig kryptografische Schlüssel ein. Einem Schlüssel sieht man aber nicht an, wem er gehört. Bei der TLS-Technik sollen eigentlich X.509-Zertifikate die Authentizität der Schlüssel und der Eigner beglaubigen. Das klappt aber nicht zuverlässig, weil jede Zertifizierungsstelle Zertifikate für jede beliebige Domain ausstellen darf – auch ohne Einverständnis des Domain-Eigners. Außerdem sind die Zertifizierungsstellen wegen Sicherheitslücken in deren IT-Systemen und auch wegen Misswirtschaft in Verruf geraten.

Mit DANE beschränkt man die Anzahl der Schlüsselquellen auf eine einzige. Und weil bei DANE der digitale Fingerabdruck eines TLS-Zertifikats im Domain Name System hinterlegt wird, lassen sich Man-in-the-Middle-Attacken vereiteln. Auch behalten die Eigner die Kontrolle, können Schlüssel also ersetzen oder entfernen. Anders als bei x.509-Zertifikaten genügt es nicht, eine Ausgabestelle zu kapern. Um einen DANE-abgesicherten Schlüssel zu manipulieren müsste gleich das gesamte DNSSEC manipuliert werden. (dz)

3 Kommentare

Themen:

Anzeige
  1. Workshop: Securing Security – wie man TLS-Zertifikate zuverlässig absichert

    Workshop: TLS-Zertifikate zuverlässig mittels DANE absichern

    TLS-Zertifikate lassen sich mittels DANE weit zuverlässiger gegen Missbrauch absichern als herkömmlich über Zertifizierungsstellen. Ein Tages-Workshop für Administratoren und Sicherheitsbeauftragte führt in die Technik ein.

  2. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  3. Cloudmark kündigt überraschend DANE/TLSA für Mail-Sicherheit an

    Mail-Sicherheit: Cloudmark kündigt überraschend DANE/TLSA für Mail-Security an

    Der überraschende Schritt des Internet-Schwergewichts erscheint bedeutsam, weil er die Mail-Sicherheitstechnik stärkt und zugleich als eine deutliche Absage an das Konzept der Certification Authorities gelesen werden kann.

  4. REST-API für Domain-Verwaltung inklusive DNSSEC

    DynDNS: REST-API für Domain-Verwaltung inklusive DNSSEC

    Das Berliner Unternehmen deSEC erweitert sein Angebot an DNS-Hosting-Funktionen. Mittels Zugriffen auf das REST-Interface lassen sich Ressource-Records automatisiert eintragen. Dazu gehören beispielsweise TLSA- und IPv6-Records.

  1. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  2. Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Das MQTT-Protokoll lässt sich effizient über Methoden absichern, die über die Standardfunktion mit Name und Passwort hinausgehen.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Royal Enfield Himalayan

    Die Royal Enfield Himalayan ist die erste Reiseenduro der Marke und soll nicht nur in ihrer Heimat für Furore sorgen. Sie setzt mit ihrem luftgekühlten Einzylinder nicht auf hohe Leistung, sondern auf Zuverlässigkeit. Doch Royal Enfield hegt für die Zukunft hochfliegende Pläne

  2. BMW X4 in zweiter Generation

    BMW

    BMW stellt sein Crossover auf Basis des X3 auf dem 88. Genfer Salon (8. bis 18. März 2018) in zweiter Generation vor. Erste veröffentlichte Bilder zeigen das leicht vergrößerte SAC (Sports Activity Coupé) vorn gründlich retuschiert und an der hinteren Hälfte recht deutlich verändert

  3. Test: Hyundai Ioniq electric

    Hyundai Ioniq electric

    Ursprünglich hatte Hyundai erwartet, maximal 25 Prozent aller Ioniqs als electric verkaufen zu können, jetzt sind es 45. Der Grund ist simpel: Das Auto ist einfach gut, und ich behaupte, es ist das Sparsamste aller reinen E-Autos

  4. Renault Kangoo Carpe Diem: Kompakter Camper

    Renault bietet für den Kangoo eine clevere Camping-Ausrüstung: Mit der Ausstattung Carpe Diem bekommt man ein multifunktionales Tischsystem, ein modulares Sitzsystem und ein Doppelbett

Anzeige