Ein wichtiger Baustein des Internets ist die Namensauflösung per DNS und diese ist nach wie vor unsicher. Ein Forscher-Team des Fraunhofer SIT demonstriert dies anhand einer Zertifikatsaustellung auf Basis von Domain Validation (DV).

Durch Manipulation am DNS gelang es ihnen die Kontrolle der Zertifizierungsstelle auszutricksen und somit ohne Berechtigung Zertifikate auf eine beliebige Domain ausstellen zu lassen.

Domain Validation (DV) ist das verbreitetste Prüfverfahren für die Ausstellung von Zertifikaten. Gegenüber der Zertifizierungsstelle weist der Antragsteller nach, ob er tatsächlich administrative Kontrolle über die Domain hat für die er ein Zertifikat beantragt. Dies geschieht entweder über E-Mails mit einem Verifikations-Link an eine Admin-Mail-Adresse oder spezielle Dateien, die auf dem zugehörigen Web-Server anzulegen sind. Diese Kontrolle erfolgt vollständig automatisiert. Dabei ist der erste Schritt immer die Auflösung der beantragten Domain per DNS durch die Zertifizierungsstelle (CA).

DNSSEC ist ein nachhaltiger Schutz gegen Manipulationsangriffe, bei dem DNS-Informationen digital signiert werden, um nicht mehr gefälscht werden zu können. Vor zwei Jahrzehnten wurde DNSSEC standardisiert, ist jedoch nicht weit verbreitet. Derzeit prüfen etwa ein Viertel aller DNS-Resolver DNSSEC-Signaturen und etwa ein Prozent aller Domains sind signiert. Die Forscher schlagen DV++ vor, das zumindest die Domain Validation unabhängig von DNSSEC sicherer gestalten kann.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE