DKIM und DANE

  • H6G du wirfst was durcheinander; weder IPv6 noch SIP sind Sicherheitsfeatures ...

    Ich denke, H6G wollte uns auf die vorherrschende Zurückhaltung bei der Umsetzung dessen, was als „proposed standard“ gilt,hinweisen.

    Daraus ergibt sich eine allgemeine Diskussion, über das Thema „Was ist denn nun state-of-the-art“ oder Stand der Technik, womit wir wieder zur IT-Sicherheit überleiten können: https://www.heise.de/ix/meldun…T-Sicherheit-3759959.html

  • Du hast Dir Dein Unverständnis bereits selbst erklärt;

    Das kann ich nur im vollen Unfang zurück geben.


    DANE würde eine Validierung von self-signed Zertifikaten erlauben und sie wären damit vertrauenswürdig. In einer DANE fähigen Umgebung also kein Problem. Bei Mailservern findet man öfter als einem lieb sein kann vernünftiges TLS Setup.


    Deine Argumentation würde ja, wie von jemand anderem erwähnt, den Einsatz jeglicher neuer Techniken ausschließen. Natürlich muss jemand anfangen.

  • Bei Mailservern findet man öfter als einem lieb sein kann vernünftiges TLS Setup.

    Ist das ein Appell gegen die Vernunft?


    Ich bin für Fortschritt - aber mit Maß und Ziel. Wenn Großprovider mit DANE anfangen, dann hege ich immer auch den Verdacht, dass die Ziele nicht ausschließlich von Althruismus gepärgt sind.


    Oder wie der Trekkie sagen würde: „Lassen Sie uns den Begriff Fortschritt neu definieren, in dem Sinne, daß es nicht unbedingt notwendig ist, etwas zu tun, bloß, weil wir in der Lage sind, auf diesem Gebiet etwas zu tun!“ (Star Trek VI. Rede des fiktiven Figur Kurtwood Smith, Föderationspräsident).

  • DANE würde eine Validierung von self-signed Zertifikaten erlauben und sie wären damit vertrauenswürdig.

    dessen bin ich mir bewußt, aber das setzt auch eine Validierung auf der anderen Seite voraus, welche bei momentanen Status-Quo sogar weniger wahrscheinlich ist, daß diese jemals kommt (hier rein in Bezug auf Browser)

    von daher keine selbstsignierten SSL-Zertifikate, es gibt keinen vernünftigen Grund dafür;


    Bei Mailservern findet man öfter als einem lieb sein kann vernünftiges TLS Setup.

    du meinst wirklich, daß dieser dann vor dem abgeben eines Mails die Zertifikatskette des gegenübers prüft und gegebenenfalls eine Weitergabe verweigert?


    Deine Argumentation würde ja, wie von jemand anderem erwähnt, den Einsatz jeglicher neuer Techniken ausschließen.

    das haste wie bereits an anderer Stelle auch Du falsch verstanden; DNSSEC und DANE ja, aber ohne Self-signed Zertifikate.

    solange keine sinnvolle Validierung clientseitig existiert ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ist das ein Appell gegen die Vernunft?

    Ich fürchte da ist ein Schreibfehler drin. Bei Mailservern findet man viel Wildwuchs beim TLS.


    Wegen den Großprovidern: man muss welche im Boot haben, weil sich die Techniken sonst nicht/nur schleppend verbreiten. Es ist viel Marketing dabei. Man muss sich einfach bewusst werden, welche Angriffsvektoren es im Internet gibt und das man was dageben tun kann, anstatt tatenlos zuzusehen.

  • das haste wie bereits an anderer Stelle auch Du falsch verstanden; DNSSEC und DANE ja, aber ohne Self-signed Zertifikate.

    solange keine sinnvolle Validierung clientseitig existiert ...

    Ich habe das nicht falsch verstanden. Um zu verstehen was ich meine, muss man sich den hostorischen Kontext anschauen. Der DANE RFC ist aus dem Jahr 2012. Zu dieser Zeit war das heutige „Encryption everywhere“ absolut undenkbar (letsencrypt für alle war ab 04/2016). Das war die Zeit wo manche lieber Self-signed als gar nicht verschlüsselt haben. Richtige Zertifikate waren für privat zu teuer. Wäre DANE in dieser Zeit umgesetzt worden, würde es das heutige CA Geschäft so nicht mehr geben und vielleicht hätten auch die ganzen Sicherheitsprobleme nicht so hohe Wellen geschlagen. Natürlich ist es heutzutage nicht mehr nötig Self-signed zu verwenden. Das heißt aber nicht, dass es nicht möglich ist self-signed zu verwenden und mit DANE zu validieren.

  • Das heißt aber nicht, dass es nicht möglich ist self-signed zu verwenden und mit DANE zu validieren.

    doch das heisst es, weil es keinen Validator in irgendeiner Form mehr gibt;

    Mozilla hat durch deren Taktik den einzigen Plugin abgewürgt, und selber sind sie nicht fähig vergleichbares zu liefern;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • doch das heisst es, weil es keinen Validator in irgendeiner Form mehr gibt;

    Mozilla hat durch deren Taktik den einzigen Plugin abgewürgt, und selber sind sie nicht fähig vergleichbares zu liefern;

    Du verstehst mich nicht. Der RFC sagt Dir wie Du die Software implementieren kannst. Das es jetzt keine Referenzimplementierung in Mozilla mehr gibt ist eine andere Sache. Mir geht es rein um die Möglichkeiten.


    In Postfix kannst Du auch DANE validieren, wenn Du ne praktische Anwendung suchst. Da hat das meines Wissens noch keiner ausgebaut und kaputt gemacht.

  • doch das heisst es, weil es keinen Validator in irgendeiner Form mehr gibt;

    Da stimmt so auch nicht. Der DNSSEC-TLSA-Validator (s.u.) funktioniert auch ohne offiziellen Support immer noch mit Google Chrome (und sollte ggf. auch mit Chromium verwendbar sein, allerdings nicht getestet; u.U. könnte er dann mittelfristig auch noch mit einer Microsoft-Variante von Chromium laufen). Was Mail-Zertifikate anbelangt, so gibt es da bspw. für ältere Thunderbird-Versionen das Tool "Great Dane". Die jeweiligen Quellcodes sind frei verfügbar, man könnte also Anpassungen an andere Applikationen vornehmen oder sich Anregungen holen, wenn man die doch recht detaillierten RFC-Vorgaben selbst umsetzen will; und es ist nicht so, dass es keine kommerziellen Lösungen gäbe, die sich analog einkaufen/anpassen ließen.


    dnssec-tlsa-validator.png


    PS: mainziman : Ein "walter.h@mathemainzel.org" nutzt laut Mailingliste nach eigenen Angaben die ältere DNSSEC-TLSA-Validator-Version noch mit einem Firefox-Fork…

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • m_ueberall ich kenne diesen Link und so gesehen ist Deine Aussage ja auch vom Grundaatz falsch, weil Dein Chrome so ziemlich aktuell sein dürfte und mit selbstsigniert garantiert aussteigt und zum anderen siehe hier: das liefert mein Chrome (die letze release f. WinXP)

    screenChrome.png

    also deckst Du damit quantitativ welchen Clientanteil ab?

    (einen derart niedrigen, daß selbstsigniert KEINE Option darstellt)

    daher und voja Unterscheidet Theorie und Praxis:D

    nur weil es lt. RFC auch mit selbstsignierten Zertifikaten geht, heißt es noch lange nicht, daß das praktisch einsetzbar ist;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Fazit: Ihr habt alle miteinander valide Argumente. Es gibt Versäumnisse bei den Implementierungen, aber das Verfahren an sich ist begrüßenswert, solange Großprovider, die zur Verbreitung des/der Protokolls/Protokolle es/sie nicht benützen, ihre Marktmacht zum Nachteil kleinerer Anbieter zu missbrauchen.


    Es sind die Nutzer nun gefragt, die Softwareanbieter mit Featurewünschen in die richtige Richtung zu lotsen. Bis dahin ist der Nutzen beschränkt.


    Kann man das so stehen lassen?