DANE und DNSSEC

TLS/SSL-Zertifikate für Web und eMail aus dem DNS

Die klassische Transportverschlüsselung im Internet mittels X.509 Zertifikaten (bekannt als TLS/SSL) ist fehlerbehaftet, das Vertrauen in das System mit kommerziellen hierarchischen Zertifizierungsanbietern (CAs) ist gestört.

Mittels abgesichertem DNS, eigenen Zertifikaten und neuen DNS Record Typen kann das System der CAs (Zertifikataussteller) abgelöst werden. Immer mehr Besitzer von Internet-Diensten wie E-Mail oder Webseiten nehmen die Sicherheit der Transportverschlüsselung selbst in die Hand (ohne eine Abhängigkeit von externen Zertifizierungsstellen).

DANE (DNS-Based Authentication of Named Entities) wurde als RFC 6698 im August 2012 von der IETF als neues Internet-Protokoll standardisiert. TLS/SSL-Zertifikate können jetzt mittels DNS und DNSSEC abgesichert werden, ohne Zertifizierungsstellen, ohne extra Kosten, ohne Bearbeitungszeiten und mit verbesserter Sicherheit. Aber wie geht denn das?

Administratoren stehen vor einem Berg neuer Konzepte, Termini und Befehlen. DANE-Sicherheit setzt DNSSEC vorraus. Was wird für DNSSEC benötigt? Welche Registrare unterstützen DNSSEC und DANE heute? Muss ich meinen eigenen DNS Server betreiben?

Jetzt dabei sein...

Diese Schulung ist speziell zugeschnitten auf die Bedürfnisse von IT-Sicherheitsbeauftragten, DNS-, Webserver- und E-Mail-Administratoren.

Voraussetzungen

Diese Schulung richtet ich an IT-Sicherheitsbeauftragte sowie DNS-, Webserver- und E-Mail-Administratoren. Sie sollten bereits DNS Basiswissen, so wie in unserem Kurs DNS und Bind vermittelt, besitzen.

Inhalt

  • die Probleme der Transportverschlüsselung mittels X.509 Zertifikaten (TLS/SSL) im Internet
  • Sicherheitsprobleme des ungesicherten DNS
  • wie DNSSEC das DNS-System absichert
  • die DNSSEC Resource Records
  • DNSSEC Resolver (caching DNS)
  • eine DNSSEC Zone signieren
  • TLS/SSL Zertifikate erstellen
  • TLS/SSL "Best Practices" (Perfect Forward Secrecy, Verschlüsselungsalgorythmen, Schlüssellängen)
  • X509 Zertifikate mittels DNS-Challange bei "Let's encrypt" besorgen
  • TLS/SSL im Webserver einrichten (Apache 2, NGINX)
  • TLS/SSL im Mailserver einrichten (Postfix)
  • TLS/SSL für Webserver und Mailserver mittels DNS absichern (der TLSA Record)
  • Fehlersuche
  • Betrieb eines DNS/DNSSEC/DANE Systems (DNSSEC Key-Rollover, Zertifikat-Austausch auf einem Server)

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.

Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.