Zum Hauptinhalt springen

7. Security Considerations (Sicherheitsüberlegungen)

7. Security Considerations (Sicherheitsüberlegungen)

Das Strict Privacy-Profil für DNS over TLS ist für DNS Push Notifications erforderlich [RFC8310]. Klartextverbindungen für DNS Push Notifications sind nicht zulässig. Da es sich um ein neues Protokoll handelt, sind Übergangsmechanismen vom Opportunistic Privacy-Profil nicht erforderlich.

Siehe auch Abschnitt 9 des Dokuments Usage Profiles for DNS over (D)TLS [RFC8310] für zusätzliche Empfehlungen zu verschiedenen Versionen der TLS-Nutzung.

Als Folge der TLS-Anforderung können auch Client-Zertifikatsauthentifizierung und -verifizierung vom Server durchgesetzt werden, um eine stärkere Client-Server-Sicherheit oder End-to-End-Sicherheit zu gewährleisten. Empfehlungen für die Sicherheit in bestimmten Bereitstellungsszenarien liegen jedoch außerhalb des Umfangs dieses Dokuments.

DNSSEC wird für die Authentifizierung von DNS Push Notification-Servern empfohlen. TLS allein bietet keine vollständige Sicherheit. Die TLS-Zertifikatsverifizierung kann eine angemessene Gewähr dafür bieten, dass der Client tatsächlich mit dem Server kommuniziert, der dem gewünschten Hostnamen zugeordnet ist, aber da der gewünschte Hostname über eine DNS-SRV-Abfrage ermittelt wird, kann der Client, wenn die SRV-Abfrage unterwandert wird, eine sichere Verbindung zu einem betrügerischen Server haben. DNSSEC kann zusätzliches Vertrauen bieten, dass die SRV-Abfrage nicht unterwandert wurde.

Letztes Update am