Der deutsche E-Mail-Anbieter Posteo unterstützt seit heute die Verschlüsselungstechnologie DANE/TLSA. Damit erhöht der Dienst die Sicherheit verschlüsselter Verbindungen bei der Übertragung von E-Mails und Nutzerdaten sowie beim Zugriff auf die Posteo-Internetseite.
So funktioniert die neue Technik
Die Verschlüsselungstechnik benutzt Sicherheitszertifikate, die zur Überprüfung der Echtheit eines Servers beim Verbindungsaufbau dienen. Diese digitalen Fingerabdrücke hinterlegt DANE, wie Posteo schreibt, im “Telefonbuch” des Internets, also auf Ebene des Domain Name Systems (DNS). Herkömmliche Verschlüsselungsmethoden benutzen zwar ebenfalls Zertifikate, allerdings überprüfen nur die wenigsten Server vor dem Senden von Daten die Echtheit des Gegenübers. Durch den Extra-Schritt verhindert DANE, dass Angreifer mit gefälschten Zertifikaten eine falsche Identität vortäuschen können.
Absicherung der Zertifikatseinträge
Die neue Technik erfordert eine weitere Absicherung: Auf der Verzeichnisebene benötigen die digitalen Fingerabdrücke einen wirksamen Schutz vor Manipulation durch Dritte. Der unbefugte Austausch von Zertifikaten wird durch DNSSEC gewährleistet, allerdings unterstützen die meisten Domainanbieter dieses Verfahren noch nicht. Vor der Einführung von DANE hat Posteo daher seblst den Domainanbieter gewechselt.
Weitere neue Möglichkeiten
DANE erlaubt es dem Mailserver, eine verschlüsselte Verbindung zu erzwingen. Beim Austausch von E-Mails zwischen zwei Anbietern wird Verschlüsselung garantiert, wenn diese über einen DANE-Eintrag verfügen. Im Gegensatz zu anderen Verfahren gibt es keine Ausweichlösung: Ist DANE verfügbar, muss der empfangende Server die E-Mails verschlüsselt entgegen nehmen. Tut er dies nicht, wird die Übertragung abgebrochen.
Hier liegt der große Unterschied zu anderen Anbietern und Verfahren wie zum Beispiel bei E-Mail Made in Germany. Dieser Verbund einiger deutscher Anbieter verschlüsselt nur beim Austausch untereinander, nicht aber mit anderen E-Mail-Servern.
Vorreiter-Position
Die Technologie von DANE ist noch nicht sehr verbreitet, nur wenige andere Provider bieten das Verfahren ebenfalls an. Bisher hat auch noch kein Softwarehersteller die Technik in einen Browser integriert, weshalb DANE die Installation eines Add-ons nötig macht. Auf der Internetseite DNSSEC/TLSA Validator finden sich alle bereits verfügbaren Erweiterungen. In Zukunft werden hoffentlich noch weitere Provider das Verfahren unterstützen, um erhöhte Sicherheit für verschlüsselte Verbindungen zu bieten.
Dem Autor Jakob Straub auf Twitter und Google+ folgen.
Passende Artikel
- Transparenzbericht: Staatsschutz erpresst Berliner E-Mail-Anbieter Posteo [UPDATE]
- Lavabit-Alternative Posteo wird international – Update: Neue Verschlüsselung
- PC & Internet: Alles zu Sicherheit, Privatsphäre und Anonymität
- Alternative zu T-Online und GMX: Wie sicher ist Posteo?
- Große deutsche E-Mail-Anbieter stellen heute auf verschlüsselte Verbindungen um
Quelle: Posteo Blog
.png){kind=icon}
