Veröffentlicht: 21. April 2011 in Domains & DNS, Hostserver.

DENIC eG Logo

Mehr Sicherheit für .de-Domains durch Signierung

Nach einer anderthalbjährigen Testphase hat die DENIC e.G. die Einführung des erweiterten DNS-Protokolls für den 31. Mai 2011 geplant. Somit können .de-Domains ab Juni 2011 mit DNSSEC (Domain Name Security Extensions) zusätzlich abgesichert werden.

DNSSEC schützt vor gefälschten Nameserverantworten

Durch eine digitale Signierung der Nameserver-Einträge kann das Umlenken auf andere IP-Adressen (DNS cache poisoing) und die Manipulation von (DNS) Inhalten verhindert bzw. erschwert werden. Mittels der signierten Nameserver-Einträge wird sichergestellt, dass die richtige IP-Adresse zur Domain unverändert beim Nutzer ankommen und der Absender der Informationen sicher authentifiziert werden kann, d.h. dass dem Nutzer tatsächlich nur die Webseite angezeigt wird, die er aufrufen wollte.

Derzeit erfolgt der Transport der DNS-Informationen – also welche Domain auf welche IP-Adresse zeigt – in der Regel unverschlüsselt. Die Idee der digital signierten DNS-Einträge gibt es bereits seit 1995. Sie rückte aber erst durch den Kaminsky-Report über Schwachstellen im DNS, der im Juli 2008 veröffentlicht wurde, ins Blickfeld der Internetöffentlichkeit.

Hintergrund: Kaminsky Bug zeigt Schwachstelle bei Domains/DNS

Der Sicherheitsexperte Dan Kaminsky zeigte im Wesentlichen auf, dass nicht signierte DNS-Einträge verfälscht werden können. Damit kann ein Angreifer die Kontrolle über die Namensauflösung für Domains erlangen und darauf aufbauend weitere Angriffe durchführen und so die Besucher der Domain auf gefälschte Webseiten leiten.

Die Hostserver GmbH war besonders aktiv an der Testphase für .de-Domains mit DNSSEC beteiligt und konnte somit bereits viele Erfahrungen im Umgang und Einsatz dieser Technologie sammeln.

Unter http://dnssec-testen.de/dnssec-artikel-links/ haben wir weiterführende Links und Informationen für Sie zusammen gestellt.

Wenn Sie von Anfang an von einer signierten .de-Domain profitieren möchten, sprechen Sie uns einfach an.