Login
Newsletter
Werbung

Thema: Mozilla testet weitere Aspekte von DNS über HTTPS

1 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von gtrs am Do, 1. August 2019 um 18:57 #

Das ist so nicht ganz korrekt.

Der entsprechende Standard heißt "Server Name Indication" (SNI) und ist eine Erweiterung für TLS. Mittels SNI können hinter einem Socket mehrere Zertifikate/Schlüssel für TLS verwendet werden. Damit der Server weiß, welches Zertifikat er nun verwenden soll, wird der Hostname zu Beginn unverschlüsselt übertragen. SNI ist inzwischen ziemlich weit verbreitet.

Damit ergibt sich eben auch wieder das Privacy-Problem, dass der TE angesprochen hat.

Um dieses Problem zu lösen, gibt es seit Kurzem "Encrypted Server Name Indication" (ESNI), bei dem wiederum der Hostname für SNI verschlüsselt übertragen wird. Hier stellt sich aber das Problem, dass der Client wissen muss, mit welchem Schlüssel er den Hostnamen verschlüsseln soll. ESNI schlägt dazu einen Eintrag in DNS vor. Dessen Integrität muss dann aber per DNSSEC gesichert sein, damit niemand sich in die erste Phase des Handshakes als Man-in-the-middle einklinken kann, um den Hostname zu belauschen. Leider ist ESNI noch experimentell und hat daher noch keine Verbreitung gefunden.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung