DNSSEC

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von DANE)
Anzeige
Wechseln zu: Navigation, Suche

DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des im Internet verwendeten Basis-Dienstes DNS. DNS (Domain Name System) sorgt dafür, dass die im Internet verwendeten kryptischen IP-Adressen (z.B. 209.85.135.104) in eingängige Bezeichner (in Beispiel Weblink zu google.de) umgewandelt werden können und umgekehrt.

Zur Förderung von DNSSEC veranstalten am 30.Juni 2015 das BSI, die Registrierungsstelle für Domains mit der deutschen Länderendung .de (DENIC), und der IT-Nachrichtendienst Heise Online einen DNSSEC-Day.

Das BSI hat zwischenzeitlich den Entwurf einer Technischen Richtlinie "Sicherer E-Mail-Transport" veröffentlicht, in der neben vertrauenswürdigen TLS-Zertifikaten für den Mail-Transport sowie "sicherer Kryptografie" auch DNSSEC und DANE/TLSA vorgeschrieben werden. Es ist davon auszugehen, das bei einer zukünftig möglichen Zertifizierung dies dann auch gefordert wird.

Allgemeines

Der DNS-Dienst stammt aus den Anfangszeiten des Internets und ist deshalb nicht verschlüsselt oder signiert. So können Web-Nutzer beispielsweise auf vorgetäuschte Internetseiten (z.B. auf Bankportale) gelenkt werden. DNSSEC nun signiert die Nameserver-Einträge digital, eine Fälschung dieser Daten kann damit verhindert werden (über Cache Poisoning, vergleichbar mit dem ARP Cache Poisoning im LAN). Zudem steigert DNSSEC das Vertrauen ins Internet, indem es Benutzer vor der Umleitung zu betrügerischen Websites oder unerwünschten Adressen schützt. So können Man-In-the-Middle-Angriffe minimiert werden, aber auch DNS-basierende DDoS-Attacken[1].

In Deutschland wurde DNSSEC am 31. Mai 2011 für die .de-Zone eingeführt. Die Schweiz hatte bereits ihre Top-Level-Domain (.ch) umgestellt. Für Österreich (.at-Domains) wurde DNSSEC am 29.02.2012 öffentlich aktiviert. Mittlerweile unterstützen einige Provider sowie auf Sicherheit spezialisierte Dienstleister DNSSEC und DANE. Die Domain der Bundesverwaltung (www.bund.de) verfügte als eine der ersten Seiten der Bundesverwaltung über DNSSEC und einen DANE/TLSA DNS-Record, bei den Ländern haben bisher nur Bayern und Brandenburg auf DNSSEC umgestellt. Im besonders kritischen Onlinebanking-Bereich wurden bisher fast keine Aktivitäten unternommen. Man vertraut, wie auch in anderen Bereichen, der etablierten SSL-Verschlüsselung und -zertifizierung, obwohl gerade in letzter Zeit sich hier die Sicherheitsprobleme häufen. Hinzu kommt, dass der Registrar / Provider für die Domain die Übermittlung der für DNSSEC notwendigen Daten unterstützen muss - ebenso die zuständigen Nameserver. Hier gibt es noch deutliches Nachholpotenzial bei vielen Providern.

Besonderen Schutz verspricht der Einsatz von DNSSEC in Zeiten des Cloud Computing beim Setzen von Verlinkungen. Wenn Web-Funktionalitäten in fremde Domänen ausgelagert werden, kann per DNSSEC die Verlinkung von den eigenen Web-Seiten auf die ausgelagerten Webseiten der fremden Domäne sicher gestaltet werden, um Link-Fälschungen technisch auszuschließen. Dazu muss der Einsatz von DNSSEC vom Outsourcing-Partner gefordert werden.

Auf DNSSEC können weitere Sicherheitsdienste aufbauen.

DANE

DANE (DNS-based Authentication of Named Entities) ist ein grundlegender auf DNSSEC aufbauender Dienst. Damit kann die Authentizität von Servern mit SSL-Kommunikation oder auch öffentlichen Schlüsseln bei Public key-Verfahren ohne extra Zertifizierungsstelle gewährleisten werden. Die Rolle der Vertrauensstelle nimmt dabei dann der DNS-Dienst ein, da diesem Dienst zur Internetkommunikation bei der Umsetzung der IP-Adresse ja ehe vertraut werden muss und hier bereits eine hierarchische Vertrauenskette über die DNS-Registrare besteht.

DANE/TLSA

Mit Hilfe des auf Basis des Internet-Standards RFC 6698 entwickelten DANE/TLSA lässt sich die SSL-Kommunikation von Mail- und Webservern sichern. Dazu trägt der DNS-Verwalter einen zusätzlichen Datensatz (TLSA-Record) ein, durch den die Authentizität der Mail- bzw. Webserver-Zertifikate validiert wird. Durch die DNS-Verankerung können dabei auch selbstsignierte Zertifikat eingesetzt werden, die man mit wenig Kenntnissen erzeugen kann. Der Umweg über Zertifizierungsstellen mit ihren hohen Kosten entfällt. Eine neue DANE-Testseite hilft beim technischen Aufsetzen [2]. Während immer mehr Betreiber die Mailserverkommunikation mit diesem Dienst absichern [3], ist bei Webservern diese Methode noch relativ ungebräuchlich. Das liegt daran, dass durch Zertifizierungsstellen signierte Webserverzertifikate weit verbreitet sind und die Prüfung per DANE/TLSA durch die Nutzer eine Zusatzsoftware (DNS-Resolver) voraussetzt. Allerdings haben Unternehmen wie z.B. VeriSign durchaus entsprechende Befürchtungen und womöglich auch aus diesem Grund ihre Zertifikatssparte bereits verkauft[4]. Diesen Schritt machten danach auch Symantec[5] und im Herbst 2017 der Zertifikatsgigant Commodo[6]. Die ins Gerede gekommene Zertifizierungsstelle StartCom stellt ab 2018 ebenfalls keine Zertifikate mehr aus [7].

DANE/SMIMEA

Bei DANE/SMIMEA werden die Hashs von S/MIME-Schlüsselzertifikaten auf den DNS-Server hinterlegt. Die Validierung erfolgt dann gegen den zur Signatur der ankommenden S/MIME-Mail genutzten öffentlichen Schlüssel. Ein entsprechender Internet-Standard ist seit 2015 in Arbeit (https://tools.ietf.org/html/draft-ietf-dane-smime-02), allerdings findet der aufkommende Standard aktuell noch keine produktive Anwendung, wie es z.B. bei DANE/TLSA bereits sehr früh während der Standardisierung der Fall war.

DANE/OPENPGPKEY

Auch das bekannte Verschlüsselungsprogramm PGP soll DNSSEC zur Schlüsselauthentifizierung und -propagierung nutzen können. Ein entsprechender Internet-Standard ist kurz vor der Fertigstellung[8][9]. Im Gegensatz zu DANE/SMIMEA werden aber hier ganze öffentliche PGP-Schlüssel im DNS deponiert.


Möglich ist via DNSSEC / DANE auch die Publizierung von SSH-(verschlüsselter Dienst zur Fernsteuerung von Computern per Konsole) und VPN-Schlüsseln.


Weblinks


Einzelnachweis

  1. "Google Public DNS FAQ" auf den Webseiten von Google abgerufen am 30.Mai.2016
  2. "Verschlüsselter Mail-Transport: Neue DANE-Testseite hilft beim Aufsetzen" in heise.de/Security vom 15.Januar.2015
  3. "Cloudmark kündigt überraschend DANE/TLSA für Mail-Sicherheit an " in heise.de/Security vom 04.April.2017
  4. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  5. "Nachspiel einer fatalen Panne: Symantec verkauft Zertifikatssparte an DigiCert" in heise.de/Security vom 04.August
  6. "Zertifikatsgigant Comodo verkauft seine TLS-Sparte" in heise.de/Security vom 02.November.2017
  7. "Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker" in heise.de/Security vom 17.November.2017
  8. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  9. "Mail-Verschlüsselung: Mail.de bringt automatisierte PGP-Schlüsselverwaltung" in heise.de/Security vom 10.März.2015


Siehe auch



Diese Seite wurde zuletzt am 20. November 2017 um 14:10 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Christopher Hoth.

Anzeigen