DNSSEC: Ein lahmer Gaul, der ein Rennpferd sein könnte

  • 21.06.2016
  • Support
  • keine Kommentare

Wir halten die Steigbügel und integrieren DNSSEC in unser Partnersystem.

Jeder möchte es: Ein schnelles und sicheres Internet. Aber gerade mit der Sicherheit hapert es enorm, denn es treiben sich eine Menge böser Buben im WWW herum. Datenklau, Kreditkartenbetrug, Pishing schon immer waren vor allem kriminelle Elemente sehr erfinderisch.

Umso mehr verwundert es, dass Techniken, die das Internet sicherer machen können, wie z.B. DNSSEC und Dane seit Jahren keine Verbreitung finden. Vor fast genau einem Jahr haben BSI, DENIC und heise-online zum DNSSEC-Tag aufgerufen, um dem Thema mehr Gewicht zu geben.

Genutzt hat es wenig, denn noch immer sind weniger als 1% der .de-Zonen mit DNSSEC signiert.

Warum aber braucht es eine signierte Namensauflösung?
Wie wir hoffentlich alle wissen, hat jede Webpräsenz und jeder Server eine einzigartige IP-Adresse, über die diese aufgerufen werden können. Da sich diese aber aus vielen Zahlen zusammensetzt (und spätestens mit IPv6 aus noch viel mehr Ziffern) und sich niemand diese merken kann, helfen wir unserem Hirn mit den praktischen Domainnamen. Um Domains auf IP-Adressen aufzulösen benötigen wir das Domain-Name-System (DNS).
Die Crux allerdings: Fragt ein Client den Nameserver, besteht immer das Risiko, dass sich ein Angreifer zwischen Nameserver und Client schaltet und falsche Daten ausliefert. Und schon haben wir keine Gewissheit mehr, auf dem richtigen Server zu landen.

Um hier mehr Sicherheit zu schaffen, wurde 2010 DNSSEC (Domain Name System Security Extension) auf den 13 IANA Rootservern eingeführt. Hierbei handelt es sich um Internetstandards, die das DNS um eine Quellenauthentifizierung ergänzen.
Die Idee: Bei ICANN existiert ein globaler Root-Key. Dieser signiert Schlüssel einzelner Top Level Domains (beispielsweise .DE oder .COM) und diese signieren wiederum die Schlüssel einzelner Domains. Betreiber von DNS-Servern, wie z. B. http.net können dann DNS-Antworten ebenfalls signiert ausliefern.

Richtig interessant wird DNSSEC in Verbindung mit DANE (DNS-based Authentication of Named Entities), denn im Zusammenspiel kann man die Echtheitsprüfung von Zertifikaten bei SSL/TLS-Verbindungen entschieden verbessern. Dabei werden verwendete Zertifikate mit dem DNS verknüpft und per DNSSEC gesichert. Mit DANE könnte ein Domaininhaber außerdem eigene Zertifikate erstellen, ohne auf eine Zertifizierungsstelle zurückzugreifen.

Hört sich alles vielversprechend an und dennoch ist das potenzielle Rennpferd bisher ein lahmer Gaul, denn – wie wir Eingangs feststellten – sind nur sehr wenige Zonen derzeit signiert. Außerdem – und dies ist noch entscheidender – die meisten Resolver und Browser ignorieren DNSSEC. Daher ist der Client gar nicht in der Lage die Signaturen eines DNS-Eintrags korrekt zu prüfen. Solange aber weder Betriebssysteme noch Browser DNSSEC und DANE wirklich unterstützen, wird dieses Pferd nicht wirklich aus den Startlöchern kommen.

Und dennoch sind wir der Meinung, dass Sicherheit im Internet wichtig ist. Daher halten wir dem Pferd die Steigbügel und führen DNSSEC im Partnersystem ein, um so die Anzahl der signierten Zonen zu erhöhen.
Mit einem Klick kann zukünftig jede Zone einer bei http.net liegenden Zone signiert werden kann.
Selbstverständlich werden wir auch die Signaturen alle 14 Tage erneuern, damit diese nicht korrumpierbar sind.

Was hier so einfach klingt, ist wiederum für die Rootzone äußerst kompliziert.
DNSSEC läuft seit dem Start unter demselben Root-Key. Im Mai hat man sich nun auf die Prozedur zum ersten Schlüsseltausch geeinigt. Diese Prozedur soll nach dem Ablaufszenario eineinhalb Jahre dauern.

 

Einen Kommentar schreiben

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>




* Pflichtfelder
  • Kategorien