DNSSEC/TLSA Validator

Ideen zu allem, was nützlich wäre. Vorschläge und Tipps zur JonDonym-Programmierung.
Post Reply
Propagandapanda
Posts: 24
Joined: Sat Nov 29, 2014 0:55

DNSSEC/TLSA Validator

Post by Propagandapanda » Thu Dec 04, 2014 23:10

Stichwort: "Ideen zu allem, was nützlich wäre."

Wie steht es mit der Möglichkeit das Firefox Add-ON "DNSSEC/TLSA Validator" [1]
einer Überprüfung zu unterziehen und ggf. fest in den JonDoFox zu integrieren?
Oder ist das in der Vergangenheit bereits geprüft worden bzw. spricht irgendetwas
gegen den Einsatz des Add-Ons?

Gerade in Verbindung mit Meldungen durch Certificate Patrol bei ausgetauschten Zertifikaten,
lässt sich durch das Add-On schnell zusätzliche Sicherheit verschaffen - so beispielsweise
eben bei www.mailbox.org geschehen (scheinbar Zertifikatetausch am 02.12 und KEIN Hinweis
auf der Homepage bezüglich SHA1 oder SHA-256 des neuen Zertifikats). Ganz abgesehen von dem
zusätzlichen Plus während dem Surfen.

[1] https://www.dnssec-validator.cz/

Beste Grüße

cane

Re: DNSSEC/TLSA Validator

Post by cane » Fri Dec 05, 2014 14:31

Das Add-on funktioniert aus mehreren Gründen nicht mit dem JonDoFox oder dem TorBrowser.

Das eine Validierung des TLSA sinnvoll ist, steht fest, muss für den JonDoFox aber konzeptionell anders gelöst werden.

Soweit mir bekannt ist, arbeitet JonDos derzeit nicht an dem Thema.

Propagandapanda
Posts: 24
Joined: Sat Nov 29, 2014 0:55

Re: DNSSEC/TLSA Validator

Post by Propagandapanda » Fri Dec 05, 2014 21:06

Gepaart mit dem Suchbegriff "Tor" hab ich dann doch was gefunden [1]:
It does not integrate well with proxies or Tor(button). If you use a proxy or Tor, this plugin will leak which sites you are surfing to. [...] it seems that the plugin does not actually modify the DNS queries of Firefox, but that it later does a DNSSEC enabled DNS query for the same hostname and verifies that
The Validator does extra queries since the DNS resolver used by Firefox might not be a validating resolver
Sehr ärgerlich. Hatte das Add-On bereits in Gebrauch ...

Aber wie genau kann mich das Add-On deanonymisieren (so interpretiere ich zumindest "leak which sites you are surfing to")? Kontaktiert es die DNS-Server am Proxy vorbei oder wie darf ich mir das vorstellen?

[1] https://addons.mozilla.org/en-US/firefo ... r/reviews/

cane

Re: DNSSEC/TLSA Validator

Post by cane » Fri Dec 05, 2014 22:19

Kontaktiert es die DNS-Server am Proxy
Ja, der DNS-Server wird über ein Plug-in kontaktiert, welches die Proxy-Einstellungen von Firefox ignoriert.
Sehr ärgerlich. Hatte das Add-On bereits in Gebrauch ...
Deshalb raten JonDos und Torproject dringend davon ab, irgendwelche zusätzlichen Add-ons im JonDoFox oder TorBrowser zu installieren.
Gepaart mit dem Suchbegriff "Tor" hab ich dann doch was gefunden [1]:
Außerdem gibt es noch weitere Gründe.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: DNSSEC/TLSA Validator

Post by totentanz » Fri Dec 05, 2014 22:54

Mailbox.org hatte vor einiger Zeit im Blog den Cert-Austausch angekündigt.

https://mailbox.org/momentan-nur-a-statt-a-bei-ssllabs/

Daten des alten Zertifikat:
https://de.ssl-tools.net/certificates/j ... 0c6479b4e7

Propagandapanda
Posts: 24
Joined: Sat Nov 29, 2014 0:55

Re: DNSSEC/TLSA Validator

Post by Propagandapanda » Fri Dec 05, 2014 23:14

Wieder was gelernt ... :-)

Danke Euch!

@ Totentanz: Genau so einen Eintrag in der Art hatte ich versucht zu finden, allerdings
hatte ich ihn im Impressum vermutet - denn dort wird auch der PGP Fingerprint gelistet --> Merci dir!

Grüße und schönes Wochenende

Edit: Könnte man diese Information im Wiki ergänzen? Bzw. wer kann das machen? Dort gibt
es ja bereits einen Abschnitt mit Anwendungen, die definitiv nicht JonDoFox-tauglich sind.

Post Reply