IETF: Zertifikate aus dem DNS, Sicherheit und Authentifizierung

Mit der Einführung digitaler Signaturen im Domain Name System (DNSSEC) sehen Registries und Registrare die Möglichkeit, Zertifikate direkt im DNS zu hinterlegen. Die vor kurzem vollzogene Signierung der zentralen Rootzone macht das DNS nach Ansicht der DNSSEC-Experten der tschechischen Registry CZ.NIC zur natürlichen Wurzelinstanz für Zertifikatslösungen. Ondřej Surý vom cz.nic lud beim 78. Treffen der Internet Engineering Task Force (IETF) in Maastricht zu einer ersten Diskussion über TLS@DNSSEC. Alexander Mayrhofer von der österreichischen NIC.at sagte anschließend gegenüber heise online, das Zertifikatangebot könne sich als erstes überzeugendes Geschäftsmodell für DNSSEC erweisen.

Künftig könnten Kunden damit Zertifikate über ihre Registrare oder Registries bekommen oder sich selbst zertifizieren und einen Fingerprint im abgesicherten DNS ablegen, so die Idee. Sury sagte gegenüber heise online, die Frage, um die sich eine neue Arbeitsgruppe in der IETF unter anderem noch zu kümmern habe, sei die Sicherung der Verbindung zwischen dem Nutzer und seinem DNS-Anbieter. Allerdings sei ein im abgesicherten DNS hinterlegtes Zertifikat ebenso sicher wie die derzeit am Markt für wenige Dollar erhältlichen einfachen SSL-Zertifikate.

Für die Anbieter von solchen Zertifikaten könnte es eng werden, wenn sich die Idee durchsetzt, meinen Beobachter und böse Zungen sehen im Verkauf von VeriSigns SSL-Geschäft an Symantec schon einen entsprechenden Schachzug. VeriSign wird bis Ende diesen Jahres DNSSEC für .net einführen, im kommenden Jahr soll .com DNSSEC signiert werden. Sury erinnerte allerdings daran,dass die Zertifikatsanbieter nach wie vor im Geschäft bleiben, wenn es um die Überprüfung der Identität gehe. Dabei helfen weder das DNS noch DNSSEC oder die dort dann hinterlegten Selbstzertifikate.

Die Themen Authentifizierung im Web und darüber hinaus standen während der IETF-Tagung bei gleich mehreren Arbeitsgruppen auf dem Programm. Die Oauth-Arbeitsgruppe will in den kommenden Monaten OAuth 2.0 abschließen. Eine neue Arbeitsgruppe will sich eine "förderative Authentifizierungslösung jenseits des Web" entwerfen, eine Art eduroam im großen Stil. Ein Konzept wie eduroam erlaubt Wissenschaftlern etwa schon jetzt, sich über die Radius-Server von 50 akademischen Netzen in aller Welt mit ein- und denselben Zugangsdaten einzuwählen. Dabei kommt ein bei der IETF entwickelter XML-basierter Standard für die Authentifizierung zum Einsatz, die sogenannte Security Assertion Markup Language (SAML), ein Alternative zu Open ID.

Experten wie der Nokia-Entwickler Hannes Tschofenig, Mitglied des Internet Architecture Board (IAB), der Peer-Organisation der IETF, sagen unumwunden, dass im Bereich Identity und Authentifizierung im Netz inzwischen ein beträchtliches Chaos herrscht. Bislang ist es der IETF nicht wirklich gelungen, die in unterschiedliche Richtungen ziehenden Unternehmen nicht nur zeitweise an einen Tisch zu bringen, sondern auch bei der Stange zu halten.

Langfristig sei für das Web eine einheitliche Rahmenregelung für Sicherheit unverzichtbar, sagte in einer weiteren Arbeitsgruppe Jeff Hodges von Paypal. Bislang seien Maßnahmen hier und da verstreut und überschnitten sich. Auch darum wollen sich bereits wieder mehrere Parteien kümmern: beim W3C ist eine Web Application Security Arbeitsgruppe für Webprotokolle geplant, Mozilla hat eine Content Security Policy für seine Produkte angekündigt. Hodges schlug in Maastricht demgegenüber noch eine Einzelmaßnahme für mehr Sicherheit im Web vor, die man vorher unbedingt noch brauche: Webseiten sollen laut https. "Strict Transport Security" (STS) den Zugriff von außen über https erzwingen können. (je)