Sicherheit absichern
Zertifizierungsstellen mit CAA-Records selbst reglementieren
Das Fundament für den verschlüsselten, also vertrauenswürdigen Internet-Verkehr sind TLS-Zertifikate. Doch immer wieder schludern Herausgeber, sodass Angreifer Zertifikate für fremde Domains erbeuten. Dem können Admins nun endlich einen Riegel vorschieben.
Zertifizierungsstellen gewährleisten mittels ihrer digitalen Unterschriften, dass ein Browser das TLS-Zertifikat von zum Beispiel einer Bank als vertrauenswürdig einstuft und eine verschlüsselte Verbindung aufbaut.
Weltweit gibt es tausende Zertifizierungsstellen (Certificate Authorities, CA); das Ausstellen von TLS-Zertifikaten ist ein lohnendes Geschäft und der Startpunkt der Vertrauenskette im Internet. Dabei vermitteln die CAs zwischen den Browsern der Internet-Nutzer und den Servern der Diensteanbieter (siehe Kasten „Kleine TLS-Kunde“ auf S. 177). Dennoch schaffen es Angreifer immer wieder, Systeme von CAs zu entern und technisch korrekte Zertifikate für fremde Personen oder Organisationen zu erbeuten. Beispielsweise gelang es einem Kunden des Microsoft-Live-Netzwerkes, ein Zertifikat für Microsofts Domain-Namen „live.fi“ zu bekommen, obwohl ihm die Domain nicht gehört [1].