Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Namen-Checker: DNSSEC für Clients und Client-Netze einrichten

Seite 2: Validieren mit Unbound

Inhaltsverzeichnis

DNSSEC-Trigger sucht bei Netzwerkänderungen automatisch einen neuen DNS-Server, der DNSSEC unterstützt. Ob das geklappt hat, verrrät unter Windows ein Rechtsklick auf das Tray-Symbol.

Für mobile Rechner hat sich die Kombination von Unbound mit DNSSEC-Trigger bewährt, die es für Windows, Linux und Mac OS X gibt. Letzterer sucht bei Netzwerkänderungen – wenn das Notebook das WLAN wechselt – einen neuen DNS-Server, der DNSSEC unterstützt. Scheitert das, fragt DNSSEC-Trigger den Anwender per Popup, ob er mit unsicherem DNS fortfahren möchte. Unter Windows genügt es, DNSSEC-Trigger herunterzuladen und zu installieren; das Windows-Paket bringt Unbound mit.

Unbound ist ein schlanker und schneller DNS-Resolver, der ab Werk DNSSEC validiert. Nach der Installation kann man mit dem Tool unbound-anchor den Root-Trust-Anchor TLS-gesichert von der IANA-Webseite holen, was Linux beim Systemstart normalerweise automatisch tut. Er liegt hernach als Datei root.key in /etc/unbound. Ob das geklappt hat, testen Sie so:

 
unbound-anchor -v
/etc/unbound/root.key has content
success: the anchor is ok

Auch der verbreitete Resolver dnsmasq kann inzwischen DNSSEC validieren. Jedoch brauchte er dafür selbst bei im Mai 2015 aktuellen Linux-Distributionen noch etwas Nachhilfe.

Auf der Linux-Kommandozeile können Sie DNSSEC/DANE mit dem Tool ldns-dane aus dem ldns-Paket prüfen. Es lässt sich unter OpenSuse direkt per Paketmanager installieren; bei Ubuntu heißt das Paket ldnsutils. Erscheint nach dem Aufruf von ldns-dane verify www.bund.de 443 eine IP-Adresse gefolgt von dane-validated successfully, klappt alles.

Validieren direkt im Browser

Für die wichtigsten Browser – Firefox, Chrome/Chromium, Safari, Opera und Internet-Explorer – hat die tschechische DNS-Registry cz.nic eine Reihe von Open-Source-Projekten rund um DNSSEC und DANE finanziert.

Dazu gehören DNSSEC- und DANE-Validatoren für Browser unter Windows, Mac OS X und Linux. Für den IE, Firefox und Safari sind die Tools in einem Paket zusammengefasst, bei anderen Browsern liegen sie als einzeln zu installierende Komponenten vor. Die Installation unterscheidet sich zwar je nach Browser zwar, ist aber online ausreichend beschrieben. Die Add-ons zeigen anschließend den DNSSEC- und DANE-Status einer Website direkt in der URL-Zeile an.

(ea)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten