News
Insights

Wir starten mit DNSSEC

Mit DNSSEC wird ein weiterer wichtiger Schritt in Richtung Sicherheit im Internet unternommen. Auch wir bieten neu DNSSEC für alle bei uns registrierten .ch-Domain an, welche unsere Nameserver nutzen.

DNS

DNS (Domain Name System) ist seit dem Entstehen des Internets eine unabdingbare Komponente um unser Leben signifikant zu erleichtern. Diese Technologie, eingeführt bereits in den Achtzigerjahren, erlaubt es uns, dass wir zum Beispiel nicht eine IP-Adresse 185.117.169.100 merken müssen (oder seit es IPv6 gibt, eine Adresse in der Art 2001:0db8:85a3:08d3::0330:7347), sondern im Browser einfach www.hostfactory.ch eingegeben werden kann. Der DNS-Dienst fragt dann beim hinterlegten Nameserver des eingegebenen Domainnamens die dazugehörige Adresse ab, so dass wir schlussendlich dennoch auf dem richtigen Server landen und unsere gewünschte Website angezeigt wird.

Image: dnssec.jpg

Sicher vor Manipulationen?

Doch landen wir auch sicher auf der richtigen Website? Mit dem klassischen DNS-Dienst ist dies grundsätzlich nicht 100% garantiert. Fängt ein Angreifer Ihre DNS-Anfrage ab und gibt Ihnen ein gefälschtes Resultat zurück, so werden Sie auf einen anderen Server weitergeleitet, ohne es zu bemerken. Dies ist beispielsweise der Fall, wenn sich Schadsoftware in Ihrem Netzwerk befindet. Dieser Fall ist zwar sehr unwahrscheinlich und selten, jedoch nicht auszuschliessen. Genau diesem Problem nimmt sich DNSSEC nun an, welcher DNS mit dem nötigen Sicherheitsansatz SEC (Security Excentions = Sicherheits Erweiterungen) ergänzt und es ermöglicht, dass ein Endgerät die Korrektheit der Informationen prüfen kann.

Wie funktioniert DNSSEC?

Doch wie können die Antworten, die der DNS-Dienst vom Nameserver erhält, auf Ihre Richtigkeit verifiziert werden? Hierzu wird eine vertrauenswürdige Quelle benötigt, in diesem Fall kommt dafür die Domain selbst zum Einsatz.

Ist DNSSEC aktiv, werden bei der Registry, also der internationalen Registrierungsstelle der Domainnamen, öffentliche Schlüssel hinterlegt. Im Gegenzug müssen dann auf dem zuständigen Nameserver, DNS-Informationen bereitgestellt werden, welche mit dem passenden privaten Schlüssel signiert sind. Beim Abruf der DNS-Informationen kann somit geprüft werden, ob die Antworten des Nameservers signiert sind und ob diese Signatur zum öffentlichen Schlüssel der Domain passt. Ist dies nicht der Fall, so kann auf eine Manipulation geschlossen und die Anfrage verworfen werden.

Dies ist natürlich nur eine grobe Erklärung der Funktionsweise (wer an einer ganz detaillierten Erklärung interessiert ist, findet eine ausführliche Anleitung z.B. unter scip.ch). Im Hintergrund läuft für den reibungslosen und unterbruchsfreien Betrieb eine Vielzahl an Prozessen, so wird die DNS-Zone beispielsweise in regelmässigen Intervallen neu signiert oder der öffentlichen Schlüssel automatisch alle paar Monate neu publiziert, um die Sicherheit weiter zu erhöhen. Als Benutzer bei Hostfactory müssen Sie hierbei jedoch weder technische Kenntnisse dieser Abläufe haben, noch komplizierte Konfigurationen oder Ähnliches durchführen. Der Betrieb ist vollautomatisch ohne Ihr zutun möglich und muss lediglich einmalig aktiviert werden.

Beim Endgerät selbst ist keine Anpassung nötig. Zum Beispiel prüft Ihr Browser automatisch, ob DNSSEC bei einer Domain aktiviert ist. Wenn ja, wird die Korrektheit der DNS-Informationen überprüft und im Fehlerfall die Verbindung verweigert. Dienste, die noch kein DNSSEC unterstützen, funktionieren jedoch weiterhin wie gewohnt, diese ignorieren schlicht die Signierung.

DNSSEC bei hostfactory

Nach einer langen Test und Entwicklungsphase können wir Ihnen nun ebenfalls diesen Service anbieten. Voraussetzung für den vollautomatischen Betrieb hierfür ist, es handelt sich um eine .ch, .com oder .net-Domain welche bei uns registriert ist und unser DNS-Dienst genutzt wird, sprich unsere Nameserver ( "ns01.hostfactory.ch") bei der Domain hinterlegt sind. Ist beides der Fall, so können Sie DNSSEC ganz einfach bei der entsprechenden DNS-Zone in Ihrem Kundencenter unter "Mehr > DNSSEC" aktivieren.

Wovon DNSSEC jedoch nicht schützt

DNSSEC ist jedoch kein Allheilmittel, es dient lediglich dazu die Integrität der DNS-Informationen sicherzustellen. Es hilft allerdings nicht gegen Phishing, Spoofing, DDoS und ersetzt auch nicht die Verschlüsselung der von Website übertragen Daten via SSL. Jedoch handelt es sich um eine sinnvolle Erweiterung, um besonders kritische Websites oder Dienste sicherer zu machen.

hostfactory.ch
Neuigkeit