Für TLS ist der Entwurf für die DNSSEC-Chain-Extension offiziell abgelaufen, wie aus der Dokumentation der zuständigen Arbeitsgruppe Internet Engineering Task Force (IETF) hervor geht. Im Blog der Organisation berichtet der Chief Scientist der APNIC, Geoff Huston, nun, dass die Erweiterung außerdem offenbar vorerst nicht mehr weiterentwickelt wird und "verwaist" sei. Auf einem Treffen der DNS-Betreiber und -Forscher (DNS-OARC) sei dies besprochen worden.

Ursprünglich war die DNSSEC-Chain-Extension dazu gedacht, die mit DANE und DNSSEC einhergehenden Sicherheits- und Vertrauensgewinne auch in Browsern abzubilden. DNS-Einträge werden bei DNSSEC signiert, was zu einer Authentifizierung der Antworten des DNS-Protokolls führt. So können Nutzer gewährleisten, dass die erhaltene IP-Adresse auch tatsächlich zur angefragten Domain gehört.

Darauf baut das DANE-Protokoll (DNS-based Authentication of Name Entities) auf und verfolgt die Idee, weitere Informationen über DNS-Antworten zu verteilen, wenn diese abgesichert und damit vertrauenswürdig sind. Hierbei war das implizite Versprechen, dem krankenden System der Zertifizierungsstellen für TLS etwas entgegenzusetzen. Per DANE könnten so beispielsweise die Fingerprints von Zertifikaten verteilt werden, denen dann vertraut werden kann.

(jf, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE