DANE und DNSSEC

TLS/SSL-Zertifikate für Web und eMail aus dem DNS

Die klassische Transportverschlüsselung im Internet mittels X.509 Zertifikaten (bekannt als TLS/SSL) ist fehlerbehaftet, das Vertrauen in das System mit kommerziellen hierarchischen Zertifizierungsanbietern (CAs) ist gestört.

Mittels abgesichertem DNS, eigenen Zertifikaten und neuen DNS Record Typen kann das System der CAs (Zertifikataussteller) abgelöst werden. Immer mehr Besitzer von Internet-Diensten wie E-Mail oder Webseiten nehmen die Sicherheit der Transportverschlüsselung selbst in die Hand (ohne eine Abhängigkeit von externen Zertifizierungsstellen).

DANE (DNS-Based Authentication of Named Entities) wurde als RFC 6698 im August 2012 von der IETF als neues Internet-Protokoll standardisiert. TLS/SSL-Zertifikate können jetzt mittels DNS und DNSSEC abgesichert werden, ohne Zertifizierungsstellen, ohne extra Kosten, ohne Bearbeitungszeiten und mit verbesserter Sicherheit. Aber wie geht denn das?

Administratoren stehen vor einem Berg neuer Konzepte, Termini und Befehlen. DANE-Sicherheit setzt DNSSEC vorraus. Was wird für DNSSEC benötigt? Welche Registrare unterstützen DNSSEC und DANE heute? Muss ich meinen eigenen DNS Server betreiben?

Jetzt dabei sein...

Diese Schulung ist speziell zugeschnitten auf die Bedürfnisse von IT-Sicherheitsbeauftragten, DNS-, Webserver- und E-Mail-Administratoren.

Trainer und Dozenten

Der Trainer Carsten Strotmann arbeitet seit über 15 Jahren mit Linux/Unix und DNS in TCP/IP Netzen. Seit 2003 betreut er das Trainingsprogramm bei den DNS Spezialisten von Men & Mice und gibt weltweit Schulungen zu den Themen DNS, DNSSEC, DHCP und IPv6. Carsten arbeitet eng mit den Herstellern von DNS Software zusammen (ISC BIND, NLNetLabs NSD/unbound und Microsoft DNS) und ist aktiv in den RIPE und IETF DNS Arbeitsgruppen.

Voraussetzungen

Diese Schulung richtet ich an IT-Sicherheitsbeauftragte sowie DNS-, Webserver- und E-Mail-Administratoren. Sie sollten bereits DNS Basiswissen, so wie in unserem Kurs DNS und Bind vermittelt, besitzen.

Inhalt

  • die Probleme der Transportverschlüsselung mittels X.509 Zertifikaten (TLS/SSL) im Internet
  • Sicherheitsprobleme des ungesicherten DNS
  • wie DNSSEC das DNS-System absichert
  • die DNSSEC Resource Records
  • DNSSEC Resolver (caching DNS)
  • eine DNSSEC Zone signieren
  • TLS/SSL Zertifikate erstellen
  • TLS/SSL "Best Practices" (Perfect Forward Secrecy, Verschlüsselungsalgorythmen, Schlüssellängen)
  • X509 Zertifikate mittels DNS-Challange bei "Let's encrypt" besorgen
  • TLS/SSL im Webserver einrichten (Apache 2, NGINX)
  • TLS/SSL im Mailserver einrichten (Postfix)
  • TLS/SSL für Webserver und Mailserver mittels DNS absichern (der TLSA Record)
  • Fehlersuche
  • Betrieb eines DNS/DNSSEC/DANE Systems (DNSSEC Key-Rollover, Zertifikat-Austausch auf einem Server)