DNSSEC

aus SecuPedia, der Plattform für Sicherheits-Informationen

(Weitergeleitet von DANE)
Anzeige
Wechseln zu: Navigation, Suche

DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des im Internet verwendeten Basis-Dienstes DNS. DNS (Domain Name System) sorgt dafür, dass die im Internet verwendeten kryptischen IP-Adressen (z.B. 209.85.135.104) in eingängige Bezeichner (in Beispiel Weblink zu google.de) umgewandelt werden können und umgekehrt.

Zur Förderung von DNSSEC veranstalteten am 30. Juni 2015 das BSI, die Registrierungsstelle für Domains mit der deutschen Länderendung .de (DENIC), und der IT-Nachrichtendienst Heise Online einen DNSSEC-Day.

Das BSI hat zwischenzeitlich den Entwurf einer Technischen Richtlinie "Sicherer E-Mail-Transport" veröffentlicht, in der neben vertrauenswürdigen TLS-Zertifikaten für den Mail-Transport sowie "sicherer Kryptografie" auch DNSSEC und DANE/TLSA vorgeschrieben werden. Es ist davon auszugehen, dass dies bei einer zukünftig möglichen Zertifizierung dann auch gefordert wird.

Die ICANN hat allen neuen Top-Level-Domains DNSSEC vertraglich auferlegt. Auch drängt die ICANN auf Grund von aktuellen Sicherheitsvorfällen (insbesondere Domain-Entführungen als globale Abart des DNS-Spoofings) zur Umrüstung aller Domains auf DNSSEC.

Microsoft hat angekündigt, DNSSEC und das darauf aufsetzende DANE in Office 365 Exchange Online zu supporten.

Der deutsche gemeinnützige Verein deDNS hat ab Frühjahr 2020 den Betrieb seines Managed-DNS-Services aufgenommen und signiert von Nutzern eingetragene Domains mittels DNSSEC kostenlos. Darüber hinaus ist auch das gesicherte Hinterlegen von SSH-Schlüsseln sowie DANE/OPENPGPKEY möglich.

Allgemeines

Der DNS-Dienst stammt aus den Anfangszeiten des Internets und ist deshalb nicht verschlüsselt oder signiert. So können Web-Nutzer beispielsweise auf vorgetäuschte Internetseiten (z.B. auf Bankportale) gelenkt werden. DNSSEC nun signiert die Nameserver-Einträge digital, eine Fälschung dieser Daten kann damit verhindert werden (über Cache Poisoning, vergleichbar mit dem ARP Cache Poisoning im LAN). Zudem steigert DNSSEC das Vertrauen ins Internet, indem es Benutzer vor der Umleitung zu betrügerischen Websites oder unerwünschten Adressen schützt. So können Man-In-the-Middle-Angriffe minimiert werden, aber auch DNS-basierende DDoS-Attacken[1] oder der Adress-Diebstahl bei IaaS-Systemen[2].

In Deutschland wurde DNSSEC am 31. Mai 2011 für die .de-Zone eingeführt. Die Schweiz hatte bereits ihre Top-Level-Domain (.ch) umgestellt. Für Österreich (.at-Domains) wurde DNSSEC am 29.02.2012 öffentlich aktiviert. Mittlerweile unterstützen einige Provider sowie auf Sicherheit spezialisierte Dienstleister DNSSEC und DANE. Die Domain der Bundesverwaltung (www.bund.de) verfügte als eine der ersten Seiten der Bundesverwaltung über DNSSEC und einen DANE/TLSA DNS-Record, bei den Ländern haben bisher nur Bayern und Brandenburg auf DNSSEC umgestellt. Im besonders kritischen Onlinebanking-Bereich wurden bisher fast keine Aktivitäten unternommen. Man vertraut, wie auch in anderen Bereichen, der etablierten SSL-Verschlüsselung und -zertifizierung, obwohl gerade in letzter Zeit sich hier die Sicherheitsprobleme häufen. Hinzu kommt, dass der Registrar / Provider für die Domain die Übermittlung der für DNSSEC notwendigen Daten unterstützen muss - ebenso die zuständigen Nameserver. Hier gibt es noch deutliches Nachholpotenzial bei vielen Providern.

Besonderen Schutz verspricht der Einsatz von DNSSEC in Zeiten des Cloud Computing beim Setzen von Verlinkungen. Wenn Web-Funktionalitäten in fremde Domänen ausgelagert werden, kann per DNSSEC die Verlinkung von den eigenen Web-Seiten auf die ausgelagerten Webseiten der fremden Domäne sicher gestaltet werden, um Link-Fälschungen technisch auszuschließen. Dazu muss der Einsatz von DNSSEC vom Outsourcing-Partner gefordert werden.

Anfang 2020 teilte der Domainanbieter GoDaddy mit, alle gehosteten Domains mit DNSSEC zu signieren. Nach eigenen Angaben sind 40% aller großen Domains bei GoDaddy gehostet.

Auf DNSSEC können weitere Sicherheitsdienste aufbauen.


DANE

DANE (DNS-based Authentication of Named Entities) ist ein grundlegender auf DNSSEC aufbauender Dienst. Damit kann die Authentizität von Servern mit SSL-Kommunikation oder auch öffentlichen Schlüsseln bei Public key-Verfahren ohne extra Zertifizierungsstelle gewährleisten werden. Die Rolle der Vertrauensstelle nimmt dabei dann der DNS-Dienst ein, da diesem Dienst zur Internetkommunikation bei der Umsetzung der IP-Adresse ohnehin vertraut werden muss und hier bereits eine hierarchische Vertrauenskette über die DNS-Registrare besteht.

DANE/TLSA

Mit Hilfe des auf Basis des Internet-Standards RFC 6698 entwickelten DANE/TLSA lässt sich die SSL-Kommunikation von Mail- und Webservern sichern. Dazu trägt der DNS-Verwalter einen zusätzlichen Datensatz (TLSA-Record) ein, durch den die Authentizität der Mail- bzw. Webserver-Zertifikate validiert wird. Durch die DNS-Verankerung können dabei auch selbstsignierte Zertifikat eingesetzt werden, die man mit wenig Kenntnissen erzeugen kann. Der Umweg über Zertifizierungsstellen mit ihren hohen Kosten entfällt. Eine neue DANE-Testseite hilft beim technischen Aufsetzen [3]. Während immer mehr Betreiber die Mailserverkommunikation mit diesem Dienst absichern [4] und damit den Vorrang vor der Mailsicherung per SPF/DKIM/DMARC-Einträgen geben, ist bei Webservern diese Methode noch relativ ungebräuchlich. Das liegt daran, dass durch Zertifizierungsstellen signierte Webserverzertifikate weit verbreitet sind und die Prüfung per DANE/TLSA durch die Nutzer eine Zusatzsoftware (DNS-Resolver) voraussetzt. Allerdings haben Unternehmen wie z.B. VeriSign durchaus entsprechende Befürchtungen und womöglich auch aus diesem Grund ihre Zertifikatssparte bereits verkauft[5]. Diesen Schritt machten danach auch Symantec[6] und im Herbst 2017 der Zertifikatsgigant Commodo[7]. Die ins Gerede gekommene Zertifizierungsstelle StartCom stellt ab 2018 ebenfalls keine Zertifikate mehr aus [8]. Ein praktikabler Zwischenschritt der Webserver-Absicherung mit DNS-Verankerung wäre aber über das Certification Authority Authorization (CAA)-Konzept erreichbar.

DANE/SMIMEA

Bei DANE/SMIMEA werden die Hashs von S/MIME-Schlüsselzertifikaten auf den DNS-Server hinterlegt. Die Validierung erfolgt dann gegen den zur Signatur der ankommenden S/MIME-Mail genutzten öffentlichen Schlüssel. Ein entsprechender Internet-Standard ist seit 2015 in Arbeit (https://tools.ietf.org/html/draft-ietf-dane-smime-02), allerdings findet der aufkommende Standard aktuell noch keine produktive Anwendung, wie es z.B. bei DANE/TLSA bereits sehr früh während der Standardisierung der Fall war.

DANE/OPENPGPKEY

Auch das bekannte Verschlüsselungsprogramm PGP soll DNSSEC zur Schlüsselauthentifizierung und -propagierung nutzen können. Ein entsprechender Internet-Standard ist kurz vor der Fertigstellung[9][10]. Im Gegensatz zu DANE/SMIMEA werden aber hier ganze öffentliche PGP-Schlüssel im DNS deponiert.

Sonstiges

Möglich ist via DNSSEC / DANE auch die Publizierung von SSH-(verschlüsselter Dienst zur Fernsteuerung von Computern per Konsole) und VPN-Schlüsseln.


DNS over TLS / DNS over HTTPS

Während DNSSEC nur die Integrität von übertragenen DNS-Daten sicherstellen kann, verschlüsseln DNS over TLS (DoT) bzw. DNS over HTTPS (DoH) den Datenstrom und sollten so auch die Vertraulichkeit der DNS-Daten sicherstellen. Damit ergänzen sich diese Neuentwicklungen mit DNSSEC.

DNS over TLS

DNS over TLS (RFC 7858) ist zwar bereits im Internet standardisiert und nutzt (wie der Name schon sagt) zur Verschlüsselung TLS, verwendet aber den noch relativ unbekannten TCP-Port 853 und hat Nachteile im Performancebereich durch das Einpacken der Nutzdaten in die "Verschlüsselungshülle". Zudem muss der Dienst im Betriebssystem verankert sein, da die DNS-Auflösung normalerweise dort vorgenommen wird. So wird sich der Dienst erst mit der Zeit über neueren Betriebssystemen durchsetzen können (angekündigt für die Android-Version P und DNS-Resolver auf Linux-Basis).

Der Internetdienst Cloudflare (bekannt für die Abwehr von DDoS-Angriffen und Webhosting) bietet, neben der https-eigenen Verbindungsverschlüsselung zu Webseiten, auch eine TLS-gesicherte DNS-Abfrage per Smartphone-App zu eigenen DNS-Servern an[11]. Beim Browser Firefox kann man dies ebenfalls einstellen, wobei Cloudflare der IT-Dienstleister von Mozilla ist. Ebenfalls nehmen Googles öffentliche DNS-Server nun mittels TLS verschlüsselte DNS-Anfragen an[12], wobei es im Google-Browser Chrome ebenfalls eine solche Einstellungsmöglichkeit gibt. Dies weckt wegen der zentralen Verfahrensweise allerdings auch Überwachungsängste.

DNS over HTTPS

DNS over HTTPS verfolgt das gleiche Ziel auf Web-Ebene (per https), spart sich aber bei der DNS-Auflösung den Umweg über das Betriebssystem. Durch den Einsatz von Webserver-Resolver, die direkt mit den Browsern sprechen, wird der o.a. Performance-Nachteil bei "DNS over TLS" ausgeglichen. Allerdings ist es ein vornehmlich dezentraler Ansatz und das Einsatzgebiet nur auf die Web-Kommunikation zwischen Browser und Web-Server beschränkt. Die Internet-Standardisierung ist zwischenzeitlich aber abgeschlossen (RFC 8488), im Browser Firefox kann DoH per Hand aktiviert werden. Ab September 2019 wurde DoH standardmäßig für alle Firefox-Nutzer freigeschalten[13]. Allerdings wird der DoH-Traffic dann zunächst nur über den Cloudanbieter Cloudflare geleitet, was Überwachungsängste schürt. Beim Browser Chrome, der ebenfalls DoH testet, bleibt der ursprünglich eingestellte DNS-Anbieter (sofern er DoH schon unterstützt), nur das Protokoll wechselt von DNS-Anfragen auf DoH[14]. Zudem können DoH-Browser das Firmennetzwerken stören, wenn sie nicht die hausinterne DNS-Server abfragen und es damit zu Verbindungsausfällen zu internen Anwendungen kommt. Während der Browser Chrome das noch automatisch erkennen sollte und DoH dann nicht verwendet (Erkennung bei gemanagten Betrieb, Teil eines Active Directorys oder Anwendung einer Enterprise-Policy), muss für den Browser Firefox im Firmennetzwerk extra eine bestimmte DNS-Domain vorhanden sein (Canary-Domain use-application-dns.net).


Weblinks

Tools


Einzelnachweis

  1. "Google Public DNS FAQ" auf den Webseiten von Google abgerufen am 30.Mai.2016
  2. Beitrag in der c't 7/2018 "Adress-Diebstahl bei IaaS-Systemen" von Carsten Strotmann
  3. "Verschlüsselter Mail-Transport: Neue DANE-Testseite hilft beim Aufsetzen" in heise.de/Security vom 15.Januar.2015
  4. "Cloudmark kündigt überraschend DANE/TLSA für Mail-Sicherheit an " in heise.de/Security vom 04.April.2017
  5. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  6. "Nachspiel einer fatalen Panne: Symantec verkauft Zertifikatssparte an DigiCert" in heise.de/Security vom 04.August.2017
  7. "Zertifikatsgigant Comodo verkauft seine TLS-Sparte" in heise.de/Security vom 02.November.2017
  8. "Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker" in heise.de/Security vom 17.November.2017
  9. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  10. "Mail-Verschlüsselung: Mail.de bringt automatisierte PGP-Schlüsselverwaltung" in heise.de/Security vom 10.März.2015
  11. "Smartphone-Sicherheit: Cloudflare beschleunigt und verschlüsselt DNS-Verkehr" in heise.de/Security vom 12.November.2018
  12. "DNS-Privacy: Google schiebt DNS-over-TLS an" in heise.de/Security vom 11.Januar.2019
  13. "Mozilla aktiviert DNS-over-HTTPS für Firefox-Nutzer" in heise.de/Security vom 09.September.2019
  14. "Google stellt Chrome-Nutzer testweise auf DNS-over-HTTPS um" in heise.de/Security vom 11.September.2019


Siehe auch



Diese Seite wurde zuletzt am 10. Juni 2020 um 13:45 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze und Christopher Hoth.