DNS absi­chern mit DNSsec und DANE

Kryp­to­gra­fi­sche Absi­che­rung von Name­server und Netz-Diensten

dnsviz.net-2014-12-17-19_12_26-UTC
Beispiel für eine signierte Zone und die Vertrauenskette

Nicht erst seit Einbrü­chen bei SSL-Zerti­fi­zie­rungs­stellen wie Digi­Notar oder umge­lei­teten DNS-Zugriffen ist klar: Das Name­server-System ist nicht wirk­lich sicher, und auch auf SSL-Zerti­fi­kate kann man sich nicht ohne Prüfung verlassen. Eine Lösung für dieses Dilemma gibt es aber: Mit dem soge­nannten „DNSsec“ (kurz für „DNS Secu­rity“) können Daten in DNS-Zonen kryp­to­gra­fisch gesi­chert werden, indem alle Einträge mit einem geheimen Schlüssel unter­schrieben werden. Eine nach­träg­liche Ände­rung, wie sie durch „Man-in-the-Middle“-Attacken oder gefälschte Name­server erfolgen können, fallen auf diese Weise schnell auf. Da eine Vertrau­ens­kette über die über­ge­ord­neten Domain-Instanzen aufge­baut wird, ist auch der Austausch des jewei­ligen Schlüs­sels nicht unbe­merkt möglich.

Echt­heits­über­prü­fung per DANE

Über die reine Absi­che­rung der DNS-Einträge hinaus dient DNSsec auch als Grundlage für das soge­nannte „DANE“ (“DNS-Based Authen­ti­ca­tion of Named Enti­ties”, DNS-basierte Authen­ti­fi­ka­tion von mit Namen verse­henen Einrich­tungen). Hierbei werden die SSL-Schlüssel, die für Webserver oder sons­tige TLS-gesi­cherte Dienste wie E-Mail genutzt werden, eben­falls im DNS hinter­legt und signiert. So wird die auto­ma­ti­sche Über­prü­fung der Echt­heit der Gegen­stelle auf Basis der hinter­legten Infor­ma­tionen möglich. Dieses Verfahren erlaubt dabei auch den Einsatz von nicht durch bekannte Zerti­fi­zie­rungs­stellen unter­schrie­benen SSL-Zertifikaten.
Der Nach­teil: Derzeit findet diese Prüfung nicht im Rahmen der Grund­in­stal­la­tion von Brow­sern oder Mail-Programmen statt, weswegen hierfür ein zusätz­li­ches Plugin wie der „DNSsec-Vali­dator“ notwendig ist. Zumin­dest beim Firefox-Browser sind jedoch in den Entwick­lungs­ästen bereits Ände­rungen vorge­schlagen, die die DNSsec und DANE Prüfung von Haus aus umsetzen würden.
Falls Sie für Ihre Domains DNSsec oder DANE einsetzen möchten, können Sie sich zwecks Einrich­tung gerne an unseren Support wenden!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern