Hinter DNSSEC, oder Domain Name System Security Extensions, steckt ein Sicherheitsprotokoll, welches entwickelt wurde, um Schwächen im Domain Name System (DNS) zu adressieren und eine sichere Verifizierung von DNS-Antworten zu ermöglichen. Indem es DNS-Antworten signiert, soll DNSEC die Authentizität und Integrität der DNS-Daten gewährleisten. Durch eine zusätzliche Sicherheitsschicht stellt das Protokoll sicher, dass die Internetnutzer auf die echte Website gelangen. Eine Umleitung durch Man-in-the-Middle-Angriffe oder Cache-Poisoning soll so verhindert werden.
Einführung & Hintergrund – Warum ist DNSSEC so wichtig?
Die Entstehung von DNSSEC ist ein Beispiel für die kontinuierliche Evolution des Internets. Es reflektiert außerdem die gemeinsamen Bemühungen von Industrie, Forschung, Regierungen und Sicherheitsorganisationen, neuen Sicherheitsherausforderungen zu begegnen und ein sichereres und vertrauenswürdigeres Nutzererlebnis zu schaffen.
Angestoßen wurde die Entwicklung von DNSSEC durch die wachsende Erkenntnis, dass das ursprüngliche DNS mögliche Sicherheitslücken aufweist und für verschiedene Arten von Angriffen anfällig ist. Die ersten Entwürfe für DNSSEC wurden dabei bereits in den 90er Jahren von der Internet Engineering Task Force (IETF), einer offenen internationalen Gemeinschaft aus Netzwerkdesignern, Betreibern, Herstellern und Forschern vorgelegt.
1999 folgte dann die Veröffentlichung der ersten DNSSEC-Spezifikationen in den RFCs 2535 – der Grundstein für das heutige DNSSEC. Um praktische Herausforderungen und technische Einschränkungen zu überwinden, wurde das Protokoll weiterentwickelt und 2005 mit den RFCs 4033, 4034 und 4035 eingeführt. Die Unterzeichnung der Root-Zone des DNS im Jahr 2010 ermöglichte schließlich eine globale Vertrauensankerkette für DNSSEC-basierte Verifizierungen, was der globalen Akzeptanz große Schubkraft verlieh.
Wie funktioniert DNSSEC?
DNSSEC setzt auf eine Kombination aus öffentlichen Schlüsseln und digitalen (kryptografischen) Signaturen, um DNS-Datensätze zu sichern. Stellt ein DNS-Resolver eine Anfrage, dann liefert der DNS-Server neben der Antwort auch eine digitale Signatur. Der Resolver kann diese Signatur mit einem öffentlichen Schlüssel überprüfen, der über einen vertrauenswürdigen Pfad abgerufen wird. Ist die Überprüfung erfolgreich, kann der Nutzer sicher sein, dass die Antwort authentisch ist.
Das heißt, dass DNSSEC dem bestehenden DNS-Protokoll eine Sicherheitsebene hinzufügt, welche sicherstellt, dass die erhaltenen DNS-Antworten auch tatsächlich authentisch sind. Der Prozess der Abfrage und Antwort im DNS wird dabei durch die Verwendung von digitalen Signaturen und einer Vertrauenskette gesichert.
Die Funktionsweise von DNSSEC im Detail
- Schlüsselgenerierung: Für jede Zone werden zwei Schlüsselpaare generiert: ein Zone Signing Key (ZSK) und ein Key Signing Key (KSK). Dabei führt der private Schlüsselteil eine digitale Signatur aus, welche vom öffentlichen Teil des Schlüssels verifiziert wird. Der ZSK wird verwendet, um Datensätze innerhalb einer Zone zu signieren. Der KSK dient dazu, durch Signierung des ZSK eine zusätzliche Sicherheitsebene hinzufügen. Der KSK wird hierbei als sicherer angesehen und seltener ausgetauscht als der ZSK.
- Signieren von Datensätzen: Jeder Datensatz in der Zone wird mit einem privaten Zone Signing Key signiert und die Signatur als separater Datensatz, ein sogenannter RRSIG-Datensatz, gespeichert. Der öffentliche ZSK, welcher im DNS hinterlegt ist, dient dazu, die Signatur zu verifizieren.
- Delegation Signer (DS) Datensatz: Um eine Vertrauenskette vom Root-DNS bis zur Zielzone zu etablieren, wird ein Hash-Wert des KSK in den übergeordneten DNS-Zonen als DS-Datensatz hinterlegt. Dieser Schritt verknüpft die Sicherheit der Child Zone mit der Glaubwürdigkeit der Parent Zone.
- Abfrageprozess (Validierung): Stellt ein Resolver eine DNS-Anfrage und erhält eine signierte Antwort, dann prüft er die Signatur mit dem öffentlichen Schlüssel der Zone gegen. Der öffentliche Schlüssel wird durch einen DS-Datensatz in der Parent Zone referenziert. Dieser kann bis zu den Root-Servern des DNS-Systems zurückverfolgt werden. Ist die Signatur gültig, kann der anfragende Resolver darauf vertrauen, dass die Antwort authentisch und unverändert (also nicht manipuliert) ist.
- Vertrauenskette: Die Authentizität des Key Signing Keys wird durch eine Vertrauenskette bestätigt. Diese beginnt beim Root-Server des DNS und erstreckt sich über die DS-Datensätze durch die Hierarchie der DNS-Zonen bis zum KSK der Zielzone. Der Resolver muss den Weg von der Root-Zone bis zur Ziel-DNS-Zone über DS-Datensätze nachvollziehen können, um den öffentlichen Schlüssel der Zielzone zu validieren.
Wer profitiert von DNSSEC?
Die Stärke von DNSSEC liegt in der zusätzlichen Vertrauensebene, welche die Authentizität und Integrität der DNS-Antworten durch die gesamte DNS-Hierarchie gewährleistet. Ein Angreifer müsste Kontrolle über jeden Schritt in der Vertrauenskette erlangen, um eine erfolgreiche Attacke durchzuführen.
Domaininhaber sichern so ihre Domains gegen eine Umleitung und Fälschung ab, was das Vertrauen in ihre Online-Präsenz stärkt. Das ist besonders für Unternehmen relevant, um sowohl ihre Marke als auch ihre Kunden vor Phishing-Angriffen zu schützen und die Vertrauenswürdigkeit ihrer Websites zu gewährleisten.
Übrigens: Bereits 90 % der Top-Level-Domains sind mittlerweile mit DNSSEC signiert und in der Rootzone als signiert gekennzeichnet. Damit ist für die Mehrheit aller Domains die Grundvoraussetzung geschaffen, durch DNSSEC-signierte Domains eine erhöhte Sicherheit für den Nutzer zu schaffen.
DNSSEC-Support für Kunden der Domain-Offensive
Die Domain-Offensive bietet allen Kunden vollen DNSSEC-Support für unsere Nameserver. Die Aktivierung von DNSSEC erfolgt während des Bestellvorgangs ganz einfach mit nur einem Klick. Daraufhin werden alle DNS-Records und DNSKEYs automatisch vom System gesetzt und bei der jeweiligen Registry hinterlegt – vorausgesetzt, diese unterstützt DNSSEC.
Wer seinen eigenen Nameserver nutzt, muss hierfür DNSSEC selbst anlegen. Auch hier gilt natürlich die Voraussetzung, dass die Registry DNSSEC unterstützt.
Du hast Fragen oder benötigst weitere Informationen rund um DNSSEC. Dann kontaktiere gern jederzeit unser Service-Team.
Schreibe einen Kommentar