Kann DNSSEC die CAs ersetzen?
DNSSEC stellt sicher, daß die Auskunft (egal welche), die man aus dem DNS bekommst, die gleiche ist, die urspünglich hineingetan wurde. Das hat mehrere Implikationen:
Man kann nach anderen Recordtypen fragen als A/AAAA und bekommt dann die korrekten Angaben z.B. zu SSH Keys (SSHFP), X.509 Zertifikate (CERT), NameServer (NS), MailServer (MX), SIP-Zielen (NAPTR in e168.arpa), ...
Damit wird DNS zu einer vertrauenswürdigen verteilten Datenbank. Insbesondere die Typen SSHFP und CERT (sowie DANE) bieten die gleiche Funktionalität, die auch eine CA bietet.
Man weiß nicht, ob die Daten, die urspünglich ins DNS geschrieben wurden, auch die korrekten Daten sind, die da stehen sollen. Es ist möglich, daß eine Zone-Admin die falschen Daten einträgt, die jemand den signierenden DNS Server gehackt hat, oder gar die Prozesse hinter der Datenbereitstellung grundsätzlich fehlerhaft sind.
Damit ist die Haftungsfrage offen. Eine CA haftet im Sinne des BGB dafür, für den Eigentümer des privaten Schlüssels eines von Ihr ausgestellten Zertifikats eine ladungsfähige Adresse herausgeben zu können. Ein Zone-Admin haftet nicht für Fehlinformationen. (alles nach SigG, das gleichzeitig die Haftungssumme von CAs auf 0€ limitiert)
DNSSEC verknüpft die Delegationskette mit der Vertrauenskette, d.h. ich muß bei der Validierung darauf vertrauen, daß die Registries (angefangen von der IANA) sich korrekt verhalten. Sollte eine Domain gekapert werden, d.h. auf andere Nameserver umgezogen werden, weil z.B. die Registrarkette erfolgreich angegriffen wurde, so wird DNSSEC die neue Kette validieren.
Damit ist klar, daß viel mehr Parteien als bisher haftungsrelevante Tätigkeiten ausführen müssen. Die Vertragslage ist dazu noch nicht einmal in Planung. Es ist auch nicht generell möglich, die Delegationskette zu umgehen und durch "Ein-Schritt-Vertrauen", wie es die CAs liefern, zu ersetzen. Auch bei den CAs gibt es Probleme mit Resellerketten, diese Sitation ist also ähnlich.
Es ist sehr wohl möglich andere Vertrauensketten aufzubauen, z.B. andere Trust-Anchor-Repositories (TAR) einzubinden, die diese in einem standardisierten Verfahren namens DNSSEC Lookaside Validation (DLV) bereitstellen können.
Vorinstalliert sind die ICANN Root Keys. Eine Änderung ist genauso aufwändig, wie die Änderung der vorinstallierten CAs in den Browsern.
Fazit
DNSSEC ist anders als die X.509 Struktur mit CAs. Sobald DANE von den Browsern unterstützt wird, genügt DNSSEC den meisten Seitenbetreibern, um die "Fehlermeldung bei HTTPS" wegzumachen.
Damit macht DNSSEC die CAs praktisch überflüssig, denn um richtige Sicherheit und Haftungsfragen interessierte sich bisher nur ein verschwindend geringer Teil der Webseitenbetreiber.
So long.....
1 Kommentare