AWS Route 53: SVCB, TLSA und SSHFP
Ein Überblick über die neuen DNS-Record-Typen in AWS Route 53.
AWS Route 53 unterstützt seit kurzem drei neue DNS-Record-Typen: SVCB (Service Binding), HTTPS, TLSA (DANE) und SSHFP. Diese Records bieten erweiterte Möglichkeiten für Performance-Optimierung, TLS-Absicherung und SSH-Authentifizierung. In diesem Beitrag schauen wir uns an, was diese Records leisten und wie sie in der Praxis eingesetzt werden.
Was machen SVCB/HTTPS, DANE/TLSA und SSHFP?
Diese DNS-Record-Typen erweitern die klassischen DNS-Einträge um zusätzliche Funktionen:
- SVCB/HTTPS — Flexible Verbindungsparameter und Protokoll-Informationen direkt im DNS
- DANE/TLSA — DNS-basierte Zertifikatsvalidierung für mehr TLS-Sicherheit
- SSHFP — SSH-Schlüssel-Fingerprints im DNS für automatische Server-Verifizierung
SVCB: Flexible Verbindungsparameter für mehr Performance
Der SVCB-Record (Service Binding, RFC 9460) ermöglicht es, zusätzliche Informationen über einen Dienst direkt im DNS bereitzustellen. Dazu gehören bevorzugte Protokolle, alternative Endpunkte und Verbindungsparameter.
Im Vergleich zu starren A- oder AAAA-Records bietet SVCB deutlich mehr Flexibilität. Der Client erfährt bereits bei der DNS-Auflösung, welche Protokolle unterstützt werden und welcher Endpunkt optimal ist. Das reduziert Latenz und ermöglicht schnellere Verbindungen.
Ein SVCB-Record könnte beispielsweise angeben, dass ein Dienst HTTP/3 unterstützt und über einen bestimmten CDN-Knoten erreichbar ist — der Client kann diese Information sofort nutzen, ohne erst verschiedene Verbindungswege ausprobieren zu müssen.
HTTPS: Spezialisierte Verbindungen für moderne HTTPS-Optimierungen
Der HTTPS-Record baut auf SVCB auf und ist speziell für HTTPS-Verbindungen optimiert. Er liefert dem Client Informationen über unterstützte Protokolle und Verschlüsselungseinstellungen, etwa HTTP/2, HTTP/3 via ALPN (Application-Layer Protocol Negotiation).
Die Vorteile im Überblick:
- Schnellere Verbindungen: Der Client lernt bereits beim ersten DNS-Request, welche Verbindungsparameter optimal sind. Das spart Round-Trips und beschleunigt den Seitenaufbau.
- Flexible Priorisierung: Verschiedene Endpunkte und Protokolle können priorisiert werden, sodass der Client immer den besten Weg wählt.
- Mehr Sicherheit: Verschlüsselungsinformationen sind direkt in den Verbindungsaufbau integriert, was Downgrade-Angriffe erschwert.
Ein praktisches Beispiel mit AWS CloudFront:
example.com 300 IN HTTPS 1 <cloudfront-distribution-domain-name> alpn="h2,h3,http/1.1,http/1.0"
Dieser Record teilt dem Client mit, dass die Domain über CloudFront erreichbar ist und HTTP/2 sowie HTTP/3 unterstützt. Der Browser kann damit sofort die optimale Verbindung aufbauen.
DANE/TLSA — Überblick
DANE (DNS-based Authentication of Named Entities) verbessert die TLS-Sicherheit durch DNS-basierte Zertifikatsvalidierung. Statt sich allein auf Certificate Authorities (CAs) zu verlassen, wird die Zertifikatsinformation direkt im DNS hinterlegt.
Die beiden Begriffe im Detail:
- DANE ist das Sicherheitsprotokoll, das TLS-Zertifikate über DNSSEC verifiziert.
- TLSA-Record ist der DNS-Eintragstyp, den DANE nutzt, um Zertifikatsinformationen zu speichern.
So funktioniert es:
- Im TLSA-Record wird ein Hash des Zertifikats oder öffentlichen Schlüssels gespeichert.
- Der Client ruft bei der Verbindung den TLSA-Record ab und vergleicht ihn mit dem vom Server präsentierten Zertifikat.
- DNSSEC schützt den DNS-Eintrag vor Manipulation, sodass der Client sicher sein kann, dass die Information authentisch ist.
Vorteile von DANE/TLSA:
- Mehr Kontrolle: Domain-Inhaber bestimmen selbst, welches Zertifikat gültig ist.
- Schutz vor gefälschten Zertifikaten: Selbst wenn eine CA kompromittiert wird, kann kein falsches Zertifikat für die Domain ausgestellt werden.
- Reduzierte CA-Abhängigkeit: Die Vertrauenskette wird durch DNS erweitert, nicht ersetzt.
Besonders relevant ist DANE/TLSA für E-Mail-Server, wo es die Transportverschlüsselung zwischen Mailservern absichert.
Um den Fingerprint eines Zertifikats zu ermitteln, kann folgender Befehl verwendet werden:
openssl s_client -connect example.com:443 -servername example.com | openssl x509 -pubkey -noout | openssl pkey -pubin -outform DER | openssl dgst -sha256
Der resultierende Hash wird dann im DNS als TLSA-Record hinterlegt:
_443._tcp.example.com. IN TLSA 1 1 1 <fingerabdruck>
Die Parameter bedeuten:
- 1 (Certificate Usage) — DANE-TA: Trust Anchor Assertion
- 1 (Selector) — Subject Public Key Info
- 1 (Matching Type) — SHA-256 Hash
SSHFP: Überblick
Der SSHFP-Record (SSH Fingerprint) speichert SSH-Schlüssel-Fingerprints im DNS. Damit kann ein SSH-Client die Authentizität eines Servers automatisch überprüfen, ohne dass der Benutzer den Fingerprint manuell bestätigen muss.
So funktioniert es:
- Der öffentliche SSH-Schlüssel des Servers wird als Hash im SSHFP-Record gespeichert.
- Beim Verbindungsaufbau ruft der SSH-Client den SSHFP-Record ab und vergleicht ihn mit dem vom Server präsentierten Schlüssel.
- DNSSEC schützt auch hier vor Manipulation der DNS-Einträge.
Vorteile:
- Sichere Verbindung: Der Client kann automatisch prüfen, ob er mit dem richtigen Server verbunden ist.
- Automatisierte Verwaltung: Keine manuelle Bestätigung von Fingerprints mehr nötig — ideal für automatisierte Deployments und große Server-Flotten.
- Keine TOFU-Problematik: Trust On First Use wird durch DNS-basierte Verifizierung ersetzt.
SSHFP-Records lassen sich einfach mit folgendem Befehl generieren:
ssh-keyscan -D example.com
Die Ausgabe enthält die fertigen DNS-Einträge, die direkt in Route 53 übernommen werden können.
Fazit
Von den neuen Record-Typen hat der HTTPS-Record den größten messbaren Einfluss auf die alltägliche Web-Performance. Er ermöglicht es Browsern, sofort die optimale Verbindung aufzubauen, ohne zusätzliche Round-Trips. Wer DNSSEC nutzt, sollte den HTTPS-Record auf jeden Fall setzen — die Einrichtung ist einfach und der Effekt auf die Ladezeit spürbar.
DANE/TLSA und SSHFP sind besonders wertvoll für Umgebungen, in denen erhöhte Sicherheitsanforderungen gelten. Sie ersetzen manuelle Vertrauensketten durch automatisierte, DNS-basierte Verifizierung und bieten damit einen echten Sicherheitsgewinn.