DNS absichern mit DNSsec und DANE

Kryptografische Absicherung von Nameserver und Netz-Diensten

Nicht erst seit Einbrüchen bei SSL-Zertifizierungsstellen wie DigiNotar oder umgeleiteten DNS-Zugriffen ist klar: Das Nameserver-System ist nicht wirklich sicher, und auch auf SSL-Zertifikate kann man sich nicht ohne Prüfung verlassen. Eine Lösung für dieses Dilemma gibt es aber: Mit dem sogenannten „DNSsec“ (kurz für „DNS Security“) können Daten in DNS-Zonen kryptografisch gesichert werden, indem alle Einträge mit einem geheimen Schlüssel unterschrieben werden. Eine nachträgliche Änderung, wie sie durch „Man-in-the-Middle“-Attacken oder gefälschte Nameserver erfolgen können, fallen auf diese Weise schnell auf. Da eine Vertrauenskette über die übergeordneten Domain-Instanzen aufgebaut wird, ist auch der Austausch des jeweiligen Schlüssels nicht unbemerkt möglich.

Echtheitsüberprüfung per DANE

Über die reine Absicherung der DNS-Einträge hinaus dient DNSsec auch als Grundlage für das sogenannte „DANE“ („DNS-Based Authentication of Named Entities“, DNS-basierte Authentifikation von mit Namen versehenen Einrichtungen). Hierbei werden die SSL-Schlüssel, die für Webserver oder sonstige TLS-gesicherte Dienste wie E-Mail genutzt werden, ebenfalls im DNS hinterlegt und signiert. So wird die automatische Überprüfung der Echtheit der Gegenstelle auf Basis der hinterlegten Informationen möglich. Dieses Verfahren erlaubt dabei auch den Einsatz von nicht durch bekannte Zertifizierungsstellen unterschriebenen SSL-Zertifikaten.
Der Nachteil: Derzeit findet diese Prüfung nicht im Rahmen der Grundinstallation von Browsern oder Mail-Programmen statt, weswegen hierfür ein zusätzliches Plugin wie der „DNSsec-Validator“ notwendig ist. Zumindest beim Firefox-Browser sind jedoch in den Entwicklungsästen bereits Änderungen vorgeschlagen, die die DNSsec und DANE Prüfung von Haus aus umsetzen würden.
Falls Sie für Ihre Domains DNSsec oder DANE einsetzen möchten, können Sie sich zwecks Einrichtung gerne an unseren Support wenden!