Vorletzter Schritt zur DNS-Absicherung der de-Domain

Die DeNIC-Registry liefert seit heute einen gültigen, also überprüfbaren kryptografischen Schlüssel mit ihren DNS-Antworten mit. In Kürze können dann Surfer DNS-Antworten auf Unversehrtheit und Vertrauenswürdigkeit überprüfen.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Dusan Zivadinovic

Die deutsche Registrierungsstelle DeNIC hat am heutigen Dienstag ihren zweiten Schritt zur Absicherung des Domain Name System mittels DNSSEC für de-Domain vollzogen: die .de-Zone wurde mit einem zur Validierung einsetzbaren öffentlichen Schlüssel bestückt. Der erst kürzlich gestartete öffentliche DNSSEC-Betrieb lief im ersten Schritt testweise ohne einen validierbaren Schlüssel.

Mittels DNSSEC können Empfänger von DNS-Antworten (Replys) sowohl die Unversehrtheit der Nachricht als auch die Vertrauenswürdigkeit der Quelle anhand von mitgesendeten kryptografischen Daten überprüfen (validieren). Beides geht mit herkömmlichen DNS-Antworten nicht, sodass Man-in-the-Middle-Attacken wie Cache Poisoning möglich sind. Sicherheitsfachleute sehen die Umleitung der Bankverbindung eines Browsers zu einem präparierten Server als Worst-Case-Szenario: Der Nutzer gibt dabei zwar die korrekte DNS-Adresse im Browser ein, eine von außen manipulierte DNS-Information leitet den Browser jedoch auf eine ganz andere IP-Adresse als die der gesuchten Bank. Weiteres zum Angriffsszenario und Details zur DNSSEC-Absicherung finden Sie in diesem ausführlichen c't-Beitrag.

Vor der de-Domain sind bereits eine Vielzahl anderer Domains mittels DNSSEC abgesichert worden, darunter .se oder auch .com. Bis auch die de-Domain validiert werden kann, vergehen freilich noch einige Tage, denn im letzten Schritt muss nun die Internet Assigned Numbers Authority (IANA) den neuen Eintrag der de-Domain in der Rootzone eintragen (DS-Record), damit er für Validierungszwecke abgerufen werden kann. Die DeNIC rechnet mit Mitte Juni.

Sobald der neue DS-Record in der Rootzone erscheint, können auch Second-Level-Domains der .de-Domain validiert werden. Eine solche Domain kann der Web- oder Domaindienstanbieter signieren oder auch der Domaininhaber selbst. Der Vorgang schließt die Schlüsselerzeugung, Signierung der Zonendaten und auch die regelmäßige Neusignierung vor Ablauf der Signaturgültigkeit sowie den regelmäßigen Schlüsselwechsel ein. Eine DNSSEC-Absicherung können Nutzer bereits jetzt bei ihrem Provider beantragen. Dieser übernimmt dann auch die Registrierung der Schlüssel, erklärt die DeNIC.

Um die Vorteile von DNSSEC nutzen zu können, benötigt man einen validierenden Resolver, der die DNS-Antworten prüfen kann und entsprechende Software, die die Ergebnisse auswertet. Resolver betreiben in der Regel die Provider selbst, allerdings sind längst nicht alle bereits jetzt für die Validierung ausgelegt. Einen solchen kann man aber auch im eigenen LAN zum Beispiel mit dem DNS-Server BIND aufsetzen – beispielsweise so, wie in einem c't-Praxisbeitrag beschrieben (kostenpflichtiger Download). Die validierten Informationen werten derzeit noch wenige Applikationen aus, aber immerhin schon der verbreitete Browser Firefox unter Zuhilfenahme des kostenlosen Add-Ons DNSSEC Validator. (dz)