DNS-Sicherheit: deSEC nimmt Regelbetrieb auf
Der gemeinnützige Verein bietet kostenloses DNS-Hosting mit mehreren seltenen Sicherheitsfunktionen und auch DynDNS-Dienste.
(Bild: (Bild: PopTika / shutterstock.com))
Die Berliner gemeinnützige Organisation deSEC hat ihren Managed-DNS-Service vom Test- in den Regelbetrieb überführt. Darüber können kleine und mittelständische Unternehmen sowie Privatnutzer ihre Domains nutzen, um zum Beispiel TLS-Zertifikate, GPG-Schlüssel oder SSH-Fingerprints abgesichert im Domain Name System (DNS) zu veröffentlichen. Bei vielen, auch großen Hostern fehlen diese Funktionen.
Grundlage dafür ist das Signieren einer Domain mittels der Sicherheitstechnik DNSSEC. deSEC signiert die vom User eingetragenen Domains kostenlos, ebenso wie die gratis erhältlichen DynDNS-Domains, die sowohl für den Betrieb mit IPv4- als auch mit IPv6-Adressen ausgelegt sind. Für die Verwaltung von Grundfunktionen steht ein einfaches Webinterface zur Verfügung. Einzelheiten lassen sich über ein REST-API einrichten, das Admins zum Beispiel zur Integration in die Cloud nutzen können. IP-Adressen von DynDNS-Domains lassen sich über gängige HTTPS-Meldungen etwa von Routern wie der Fritzbox aktualisieren. Linux-User können zusätzlich Clients wie den ddclient verwenden.
(Bild: deSEC)
Alle bei deSEC hinterlegten DNS-Einträge werden in Echtzeit an 15 global verteilten Standorten veröffentlicht, die zu einem Anycast-Verbund verschaltet sind. Das, so Vorstand Dr. Peter Thomassen, "sorgt für weltweit geringe Latenzen bei DNS-Abfragen, sowohl über IPv4 als auch IPv6".
Vorbild Let's Encrypt
deSEC orientiert sich an der Initiative Let’s Encrypt und widmet sich der Verbreitung von DNS-Sicherheitsfunktionen. Während Let's Encrypt die HTTP-Verbindung von Browser und Webserver mittels kostenlosen TLS-Zertifikaten absichert, fördert deSEC die Verbreitung von DNSSEC-signierten DNS-Zonen, um die Zuordnung von Domainnamen und IP-Adressen vor Manipulationen zu schützen.
Auf DNSSEC setzt die Protokoll-Familie DANE auf. Per DANE/TLSA validieren SMTP-Mail-Server ihre TLS-Zertifikate gegenseitig (Transport Layer Security) und sichern so den Mail-Transport ab. Mittels DANE/SMIMEA und DANE/OPENPGPKEY bindet man Mail-Adressen an Benutzerschlüssel. Auf ähnliche Art kann man auch IPSec-VPN-Schlüssel im DNS hinterlegen. Mittels SSHFP kann man SSH-Host-Keys anhand von SSH-Fingerprints verifizieren, die im DNS publiziert sind – also sicherstellen, dass man genau zu dem Server eine SSH-Konsole öffnet, den man auch ansprechen will.
Laut den Betreibern ist der Dienst nun "stabil und für Business-Anwendungen geeignet". Zu den Unterstützern der Initiative von deSEC zählt der IT-Sicherheitsdienstleister Secure Systems Engineering (SSE). Thomassen hält DNSSEC und DANE zusammen für "niederschwelliger und günstiger als CAs" und auch "weniger komplex, wenn es etwa um Revocation geht" – also das Widerrufen von ungültigen oder entwendeten Schlüsseln. (dz)
