Ein Forscherteam des Fraunhofer SIT hat am Beispiel der Zertifikatsausstellung auf Basis von Domain Validation (DV) aufgezeigt, dass DNS immer noch extrem unsicher ist. Dies
berichtet "Heise" mit Bezug auf das bisher unveröffentlichte Paper der Wissenschaftler. DNS sei immer noch einer der wichtigsten Bausteine des Internets und "haarsträubend unsicher". Dem Team gelang es, die Kontrollen der Zertifizierungsstellen auf den Leim zu führen und konnten sich somit Zertifikate für beliebige Websites ausstellen lassen.
Trotz der Tatsache, dass Data Validation das verbreitetste Prüfverfahren ist, währen die Zertifizierungsstellen viel zu schlecht geschützt, heisst es weiter. Die Zertifizierungsstellen wurden informiert, da die betroffenen Stellen noch an der Lösung der Probleme sind, wurde bisher auf eine Nennung von Namen verzichtet. Das Paper wird an der ACM Conference zu Computer and Communications Security im Oktober präsentiert.
Das Verfahren, mit dem der Mechanismus ausgetrickst wurde, basiert auf Cache Poisoning durch IPv4 Fragmentierung. Das Verfahren wurde vor fünf Jahren von Haya Shulman, die ebenfalls Teil des Fraunhofer-Teams ist, das nun die DNS-Lücke aufzeigt, vorgestellt. So sei es umso beängstigender, dass der Trick noch immer funktioniere. Als Abhilfen werden DNSSEC und DV++ genannt, die Implementierung schreitet diesbezüglich jedoch sehr langsam voran.
(win)