Wie DNS-Multi-Signing die Internet-Sicherheit verbessert

Die DNSSEC genannte Sicherheitserweiterung des Domain Name System schützt beim Internetsurfen, verbreitet sich aber nur langsam. Ein Überblick.

Artikel verschenken

21

27.05.2022, 11:00 Uhr

Lesezeit: 12 Min.

c't Magazin

Von

Peter Thomassen
Dusan Zivadinovic

Wie DNS-Multi-Signing die Internet-Sicherheit verbessert
Was DNSSEC bremst
Mehrfachsignaturen
Ungeklärtes
Providerwechsel
Silberstreif

Artikel in c't 12/2022 lesen

Wer Server im Internet anhand ihres Domainnamens ansteuert, beispielsweise meinebank.de, möchte sicher sein, dass er tatsächlich einen Dialog zum gewünschten Server aufbaut – digitale Wegelagerer sollen weder mithören noch den Verkehr manipulieren oder umleiten können. Doch bereits der erste Schritt, das Übersetzen des menschenlesbaren Domainnamens in eine maschinenlesbare IP-Adresse mittels DNS-Lookup, ist problematisch: Das zugrundeliegende Domain Name System (DNS) entstand Mitte der 1980er-Jahre ohne Absicherung. Anfangs war das kein Problem, das Internet war ja noch ein Forschungsnetz. Das änderte sich in den 1990er-Jahren, als es sich im großen Stil für Privatnutzer öffnete und Kriminelle neue Tätigkeitsfelder fanden. Das DNS blieb aber noch jahrelang weitgehend unverändert.

Angreifer können daher sogar heute noch Lookups durch Techniken wie DNS-Spoofing oder DNS-Cache-Poisoning manipulieren. Das hat schwerwiegende Folgen: Angreifer können Datenverkehr manipulieren und umleiten und so zum Beispiel private Kommunikation mitlesen, eine Identität vortäuschen oder Vermögen stehlen.

Dagegen schützen digitale Signaturen, die der DNS-Server an seine Antworten anheftet (DNS Security Extensions, DNSSEC). Sie sichern DNS-Auskünfte kryptografisch gegen Fälschungen und authentisieren den Server als zulässige Quelle der Antworten. Eine Transportverschlüsselung wie TLS hilft da nicht, weil sie nicht dagegen schützt, dass ein präparierter, per TLS kommunizierender Resolver dem Client falsche Informationen sendet.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Innovative,Ai,Robot,Tutor,Helping,A,Teenage,Boy,With,Homework,

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

Mobilprozessoren rechnen dank KI-Beschleunigern, Hybrid-Kernen und Chiplet-Aufbau immer schneller und effizienter. Wir helfen, den passenden Chip zu finden.

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Sie möchten mit einem KI-Sprechtrainer eine Fremdsprache üben, dafür aber kein Abo abschließen? ChatGPT macht es möglich – sogar in der kostenlosen Version.

ChatGPT optimieren

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Das smarte Teleskop Odyssey Pro von Unistellar fotografiert Planeten und Galaxien über eine verbundene Smartphone-App. Was das Teleskop leistet, zeigt der Test.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Wie DNS-Multi-Signing die Internet-Sicherheit verbessert

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

CPU-Guide 2024: Notebook-Prozessoren von AMD, Apple und Intel im Vergleich

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

App-gesteuertes Teleskop: Unistellar Odyssey Pro im Test

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.