{"code":"VTVWTG","speakers":[{"code":"XGYXCF","name":"Stefan Helmert (Tesla42)","biography":"Ich beschäftige mich in meiner Freizeit mit IT-Sicherheit, Softwareentwicklung und Orchestration (infrastructure as Code).","avatar":null}],"title":"Domain-Automatisierung mit cryptdomainmgr","submission_type":{"de":"Talk"},"track":null,"state":"confirmed","abstract":"Cryptdomainmgr ist ein Python-Programm, welches TLS-Zertifikate, TLSA-Domaineinträge und DKIM-Schlüssel automatisch erneuert.","description":"Das Verfahren \"DNS-Based Authentication of Named Entities\" (DANE) koppelt TLS-Zertifikate über Hashwerte (TLSA-Einträge) an die DNS-Zone. Im Falle einer kompromittierten Zertifizierungsstelle (CA) kann über den DNS-Eintrag die Richtigkeit des Zertifikates nachgewiesen werden. An unberechtigte Dritte ausgestellte Zertifikate werden entlarvt. Die DNS-Zone darf jedoch nicht kompromittiert sein und sollte per DNSSEC abgesichert werden.\r\n\r\nUm den Versand betrügerischer E-Mails zu erschweren, signieren Mailserver E-Mails mit mit einem DKIM-Schlüssel. Die Signatur kann über den DKIM-Eintrag in der Absenderdomain validiert werden. Das Fälschen der Absenderdomain wird dadurch entdeckt.\r\n\r\nDie asymmetrischen Schlüsselpaare für die DKIM-Signatur und TLS-Zertifikate müssen regelmäßig erneuert werden, um den Angriffszeitraum bei gebrochenen Schlüsseln gering zu halten.\r\n\r\nCryptdomainmgr erneuert die Schlüssel sowie DH-Parameter automatsich lückenlos ohne Downtime in drei Phasen: Prepare, Rollover, Cleanup. Auch negative Caching stellt dadurch kein Problem dar.","duration":45,"slot_count":1,"do_not_record":false,"is_featured":false,"content_locale":"de","slot":{"room":{"de":"EI 9"},"start":"2019-04-20T15:00:00+02:00","end":"2019-04-20T15:45:00+02:00"},"image":"http://conference.c3w.at/media/eh19/images/VTVWTG/cdmlogo.png","resources":[]}