Seminar DANCE4All Integration: GnuTLS

Inhaltsverzeichnis

• Zielsetzung
• Zielgruppe und Voraussetzungen
• Inhalte und Ablauf
• Praxisübungen Schritt für Schritt
• Ergebnisartefakte

Zielsetzung

• Implementierungsfähigkeit: Integration, Tests, Debuggingpfade, produktionsnahe Entscheidungsgrundlagen.

Zielgruppe und Voraussetzungen

• Zielgruppe: C/C++-nahe Entwicklung, Plattformteams, Security Engineering (technisch), SRE mit Build-Erfahrung.
• Voraussetzungen: Linux/Toolchain-Grundwissen, TLS-Grundbegriffe, Seminar DANCE4All Grundlagen: DNSSEC, DANE, DANCE im Kontext–DANCE Client-Authentisierung: Architektur, Identitäten, Privacy empfohlen.

Inhalte und Ablauf

Tag 1

• Build- und Feature-Konfiguration (Library, Abhängigkeiten, Debug-Symbole)
• DNSSEC-validierte Datenquelle: Resolver-Strategie, Cache, Fehlerbehandlung
• TLSA-Parsing und Verifikationslogik in den Verbindungsaufbau einbinden
• Minimaler Prototyp: TLS-Verbindung + Serverprüfung (Baseline)
• Logging-Design: was wird wann protokolliert

Tag 2

• DANCE-spezifische Client-ID-Übergabe und Serverlogik (Designmuster)
• Testfallmatrix: positive/negative Tests (Mismatch, Expiry, DNSSEC-Fail)
• Robustheit: Timeouts, Fallback-Regeln, Betriebsmodi
• Automatisierung: CI-fähige Tests, deterministische DNS-Responses
• Abnahmekriterien und Übergabe an Betrieb/Architektur

Praxisübungen Schritt für Schritt

• Build und Verifikation
  • Schritt: Build-Umgebung vorbereiten (Compiler, Dependencies, Debug)
  • Schritt: Library bauen, Feature-Switches dokumentieren
  • Schritt: Minimaler TLS-Handshake mit Testclient/-server
• DNSSEC-validierte TLSA-Abfrage
  • Schritt: Validierenden Resolver verwenden oder validierende Bibliothek einbinden
  • Schritt: TLSA-Eintrag abrufen, Validierungsstatus prüfen
  • Schritt: TLSA-Daten im Code in strukturierte Form überführen
• Handshake-Prüfpfad
  • Schritt: Zertifikat/Public Key aus Handshake extrahieren
  • Schritt: Fingerprint/Matching berechnen
  • Schritt: Abgleich mit TLSA und Entscheidung (accept/deny)
• DANCE-Client-ID-Pattern
  • Schritt: Client-ID bestimmen (aus Zertifikat/Mapping)
  • Schritt: DNS-Name für Client-ID ableiten, TLSA abfragen
  • Schritt: Serverseitige Prüfung ausführen, Fehlermeldungen standardisieren
• Fehlerfälle reproduzieren
  • Schritt: TLSA absichtlich falsch publizieren
  • Schritt: Fehler beobachten (Logs, Handshake-Alert)
  • Schritt: Runbook: Diagnose → Fix → Verifikation
• Testautomation
  • Schritt: Testszenarien skripten (DNS-States, Cert-States)
  • Schritt: CI-Ausführung definieren
  • Schritt: Abnahmereport generieren

Ergebnisartefakte

• Referenz-Prototyp (Übungsrepository-Struktur)
• Testfallmatrix (positiv/negativ)
• Logging- und Runbook-Vorlagen
• Abnahmekriterienliste für GnuTLS-basierte Integrationen