Am 30. Juni ist DNSSEC-Day

Am 30. Juni 2015 veranstalten das BSI, DENIC und heise online den DNSSEC-Day. Kern der Veranstaltung ist ein Livestreaming, bei dem Fachleute Nutzen und Anwendungsmöglichkeiten für Nutzer und Administratoren behandeln.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Dusan Zivadinovic

DNSSEC schließt eine elementare Sicherheitslücke der Internet-Infrastruktur -- Webseiten-Abrufe lassen sich damit nicht mehr ohne Weiteres auf präparierte Server umleiten.

DNSSEC ist eine bedeutsame Technik, weil sie DNS-Daten, also essentielle Informationen, die zur Navigation im heutigen Internet gebraucht werden, kryptografisch gegen Fälschungen absichert. Potenzielle Nutznießer sind nicht nur Diensteanbieter wie Energieversorger, Banken oder der Tk-Sektor, sondern auch Anwender: DNSSEC stellt sicher, dass der Browser beim Abruf einer Online-Banking-Seite genau die Adresse bekommt, die der Anwender angefragt hat.

Im Kontrast zur Bedeutung steht die Verbreitung: Weltweit führend sind in dieser Hinsicht die Niederlande. Dort sind fast schon 50 Prozent aller Domains signiert, während DNSSEC in Deutschland bisher nicht flächendeckend in Gebrauch ist. Optimistisch stimmt jedoch, dass mit der Postbank ein erstes sicherheitskritisches Unternehmen seine Web-Seiten signiert hat.

Zum DNSSEC-Day haben das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Registrierungsstelle für Domains mit der Länderendung .de (DENIC), und der IT-Nachrichtendienst Heise Online vielfältiges Informationsmaterial zusammengestellt. Den Schwerpunkt der Veranstaltung bildet ein Live-Videostream ergänzt mit Screencast-Einspielungen zum Thema. Fachleute erklären unter anderem den Nutzen der Technik aus Sicht von Anwendern und behandeln Praxisfragen von Administratoren. Eine Reihe von knappen Screencast-Einspielungen führen in die Details der Technik ein:

DNSSEC Kurzeinfuehrung
DNSSEC Resolver mit Unbound unter Windows installieren
DNSSEC Resolver mit Unbound unter MacOS X/Linux installieren
DNSSEC Resolver mit Windows 2012
Benutzung DNSSEC-Trigger unter Windows/MacOS X/Linux
DNSSEC Fehlersuche mit dig
DNSSEC Fehlersuche mit Internet-Diensten (DNSViz, Zonemaster ...)
DNS Zone signieren mit BIND 9
DNS Zone signieren mit Windows 2012

Zusätzlich bringt die heise-Netze-Redaktion Grundlagen- und Praxisartikel. Leser können sich dazu im heise-Netze-Forum austauschen.

Grundlagen zum Thema DNSSEC finden Sie in diesem Artikel:

Domain Name System absichern mit DNSSEC – Sichere DNS-Auskunft per Kryptographie

Wie man die Technik im LAN auf Linux- oder Windows-Servern einrichtet, beschreiben diese zwei Beiträge:

DNSSEC: Lügendetektor fürs LAN – Windows Server validiert DNS-Antworten fürs Firmennetz

Auskunft mit Siegel – Dnsmasq als DNSSEC-validierender Resolver

DNSSEC lässt sich zusätzlich für weitere Anwendungen nutzen. Eine etablierte Technik stellt die Absicherung des Mail-Transports mittels DANE dar, DNS-Based Authentication of Named Entities:

Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern

DNSSEC und DANE können zusammen für die Ende-zu-Ende-Mail-Verschlüsselung verbessern:

DNSSEC und DANE: Hilfestellung zur Mail-Verschlüsselung

[Update, 26.6.2015, 14:42]:

Das Signieren von Zonen ist zwar eine Voraussetzung zur Erhöhung der Sicherheit bei DNS-Abfragen, aber ohne Validierung wäre das wertlos. Lesen Sie hier, wie sich Resolver auf PCs einrichten lassen:

Namen-Checker: DNSSEC für Clients und Client-Netze einrichten

Heise Online bereitet die DNSSEC-Einführung seit längerem vor. Anders als bei Experimenten oder Test-Domains erfolgen derart tiefgreifenden Änderungen an Produktivsystemen schrittweise, die Betriebssicherheit steht im Vordergrund:

DNSSEC bei heise online: Einführung in Etappen

Hat ein Administrator DNSSEC erstmal für eine Domain eingeführt, bekommt er eine Reihe weiterer Optionen in die Hand. Beispielsweise lässt sich die TLS-Verschlüsselung mit signierten Zertifikaten besser absichern, was wiederum die Sicherheit beim Mail- und Webseiten-Transport erhöht. Das lässt sich an einem Vormittag einrichten.

Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

(dz)