Eine interaktive Reise durch HTTPS/TLS-Zertifikate und DNS-Vertrauen
Chain-of-Trust (Vertrauenskette) ist ein fundamentales Konzept der IT-Sicherheit, bei dem Vertrauen hierarchisch von vertrauenswßrdigen Autoritäten an nachgelagerte Entitäten weitergegeben wird.
⢠Hierarchisches Vertrauen: Vertrauen wird von einer Wurzel-Autorität schrittweise delegiert
⢠Kryptographische Sicherheit: Digitale Signaturen gewährleisten Authentizität
⢠ĂberprĂźfbarkeit: Jede Stufe kann unabhängig validiert werden
In dieser Präsentation konzentrieren wir uns auf zwei kritische Bereiche:
Vertrauenskette von Root-CAs zu Website-Zertifikaten
Vertrauen zwischen autoritativen und rekursiven Servern
TLS-Zertifikate sind digitale Dokumente, die die Identität einer Website bestätigen und eine sichere Kommunikation ermÜglichen. Sie enthalten:
⢠Ăffentlichen SchlĂźssel fĂźr die VerschlĂźsselung
⢠Domain-Informationen der Website
⢠Digitale Signatur der ausstellenden Zertifizierungsstelle
⢠Gßltigkeitsdauer des Zertifikats
Wichtig: Browser vertrauen nur Zertifikaten, die von bekannten Zertifizierungsstellen (CAs) ausgestellt wurden. Diese CAs sind im Browser-Zertifikatsspeicher vorinstalliert.
Vertrauensanker
Self-signed
Zwischenzertifikat
Von Root-CA signiert
Website-Zertifikat
Von Intermediate-CA signiert
Sicherheitshinweis: Wenn ein Zertifikat in der Kette kompromittiert wird, sind alle darunter liegenden Zertifikate ebenfalls betroffen. Daher verwenden CAs mehrere Sicherheitsebenen.
⢠Empfängt Client-Anfragen
⢠Fßhrt Lookup-Prozess durch
⢠Cached Antworten
⢠Besitzt DNS-Zonendaten
⢠Antwortet mit offiziellen Records
⢠Verwaltet Subdomains
DNSSEC (DNS Security Extensions) erweitert DNS um kryptographische Sicherheit:
⢠Digitale Signaturen fßr DNS-Records
⢠Chain of Trust von Root-Zone zu Subdomains
⢠Validation durch rekursive Resolver
Anleitung: Klicken Sie in Ihrem Browser auf das Schloss-Symbol neben der URL und wählen Sie "Zertifikat anzeigen", um die Zertifikatskette zu inspizieren.
Zertifikatsfehler: Oft verursacht durch abgelaufene Zertifikate, falsche Domain-Namen oder unterbrochene Zertifikatsketten.
Best Practices: RegelmäĂige Zertifikatserneuerung, Monitoring der GĂźltigkeitsdauer, Verwendung von Certificate Transparency.
⢠Chain-of-Trust ist essentiell fßr sichere Internetkommunikation
⢠HTTPS/TLS-Zertifikate schßtzen vor Man-in-the-Middle-Angriffen
⢠DNS-Sicherheit wird durch DNSSEC und vertrauenswßrdige Resolver gewährleistet
⢠RegelmäĂige ĂberprĂźfung von Zertifikaten ist entscheidend
Sichere DatenĂźbertragung durch Zertifikatsketten
VertrauenswĂźrdige NamensauflĂśsung mit DNSSEC
Kombinierte Sicherheit durch mehrere Vertrauensketten
Nächste Schritte: Implementieren Sie Certificate Pinning, ßberwachen Sie Zertifikatsgßltigkeiten und nutzen Sie DNS-over-HTTPS (DoH) fßr zusätzliche Sicherheit.