Hauptnavigation:

Sie sind hier: Home > DOMAINS > DNSSEC

DNSSEC – erhöhte Sicherheit im Netz

Das Internet mit seinen Kommunikationsdiensten und der Vielzahl bestehender Anwendungen ist heute aus dem Geschäftsleben und dem privaten Umfeld nicht mehr wegzudenken.

Der Internetnutzer geht in aller Regel davon aus, dass Daten unverfälscht und verlässlich im Internet übertragen werden. Die überwiegende Zahl aller Internetdienste und -verfahren verlässt sich dabei auf eine zuverlässig funktionierende und korrekte Auflösung von leicht merkbaren Domainnamen auf IP-Adressen durch das Domain Name System (DNS). Das dabei verwendete DNS-Protokoll selbst besitzt jedoch keine Maßnahmen zum Schutz seiner Inhaltsdaten. Insbesondere gibt es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Zwischenspeichern (Caches). Verfälschungen können daher weder erkannt noch verhindert werden.

An dieser Stelle kommt Domain Name System Security Extensions (DNSSEC) ins Spiel: Es handelt sich dabei um standardisierte Erweiterungen zum DNS-Protokoll, die der sogenannten Quellenauthentisierung, d.h. der Sicherung des Pfades zwischen DNS-Servern und validierenden DNS-Klienten dienen, dazwischen liegende Resolver mit ihren Caches eingeschlossen. Es hilft sicherzustellen, dass zu einem angefragten Domainnamen die hinterlegte IP-Adresse zurückgeliefert wird. Ein Beispiel: Gibt man in den Browser die Domain seines Online-Banking-Portals ein, so kann DNSSEC sicherstellen, dass der Rechner die Verbindung mit der hinterlegten, von der Bank veröffentlichten IP-Adresse für den Webserver des Banking-Portals aufbaut. Es kann nicht mehr von Dritten eine falsche IP-Adresse eingeschleust werden, hinter der sich dann möglicherweise eine Imitation des Online-Banking-Portals verbirgt. Im Fall einer solchen Fälschung von IP-Adressen spricht man Cache Poisoning, gegen das DNSSEC einen wirksamen Schutz bietet. DNSSEC beinhaltet jedoch keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten: Ob die ursprünglich eingepflegten Daten einer Website inhaltlich korrekt oder harmlos sind, kann mit DNSSEC nicht erkannt werden.

Die Funktionsweise von DNSSEC

DNSSEC überprüft die Daten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden Daten errechnet und zusammen mit den Daten an den Client übertragen werden. Anhand der verwendeten Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten Quelle gesendet wurden. Gleichzeitig bietet die Signatur die Möglichkeit zu prüfen, ob Daten auf dem Transportweg verändert wurden.

Um digitale Signaturen zu erstellen, wird ein Schlüsselpaar generiert, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Teil ist geheim und nur dem Besitzer bekannt. Der öffentliche Teil wird im DNS publiziert und mit ihm kann eine Unterschrift, die mit dem privaten Schlüssel signiert wurde, überprüft und validiert werden. Dem öffentlichen Schlüssel muss dabei vertraut werden. Hierzu wird eine Schlüsselhierarchie verwendet, die so genannte Chain of Trust. Sie dient dazu, dass alle Unterschriften mit nur einem öffentlichen Schlüssel überprüft werden können. Eine möglichst hoch im DNS-Baum angesiedelte Zone enthält die öffentlichen Schlüssel ihrer delegierten Subzonen und unterschreibt diese digital. Die Subzonen können wiederum die signierten öffentlichen Schlüssel ihrer untergeordneten Zonen enthalten usw. Für eine derartige Chain of Trust muss im Resolver eines zentralen Nameservers lediglich der öffentliche Schlüssel der obersten Zone bekannt sein.

DNS-Abfrage ohne DNSSEC

DNS-Abfrage mit DNSSEC

DNSSEC für .de

Für die Top Level Domain .de ist DNSSEC seit Mai 2011 aktiv und wird als optionales Sicherheitsfeature angeboten.

Um als Internetnutzer von DNSSEC zu profitieren, ist ein validierender Resolver notwendig. Dieser wertet die Schlüssel und signaturen aus und unterdrückt gefälschte DNS-Antworten. Validierende Resolver können auf dem Endsystem (PC, Laptop etc.) direkt betrieben werden. In anderen Fällen kann der Internetprovider oder die IT-Abteilung diese Dienstleistung zur Verfügung stellen. Die Vorteile von DNSSEC werden sich mit der Verbreitung der validierenden Resolver dann so richtig erschließen.

Wenn Sie DNSSEC für Ihre eigene/n Domain/s nutzen möchten, müssen diese signiert und das öffentliche Schlüsselmaterial bei DENIC hinterlegt werden, was über eine automatische Schnittstelle durch jeden Provider vorgenommen werden kann. Bitte wenden Sie sich dazu an Ihren Provider.

Eine DNSSEC-signierte Domain kann wie eine unsignierte Domain den Provider wechseln. Ein Wechsel des Providers für DNSSEC-signierte Domains erfolgt nach einem standardisierten Verfahren, das für Nameserver-Betreiber den Operator-Wechsel und den Übergang der Schlüsselverwaltung klar regelt.

Die Antworten auf die wichtigsten Fragen haben wir für Sie im Bereich DNSSEC-FAQs zusammengefasst.