SecuMail-Blog

WorNet sichert Domains mit DNSSEC

Kann Ihre Domain DNSSEC? Schnell geprüft:
http://dnssec-debugger.verisignlabs.com/

DNS ist eines der zentralen Systeme des Internets. Umso erstaunlicher ist die Tatsache, dass DNS immer noch weitestgehend ungesichert betrieben wird. Verschlüsselung oder Signierung bei DNS? Fehlanzeige! Für DNS existiert allerdings seit einigen Jahren ein Standard namens  DNSSEC, der eigentlich für Sicherheit sorgen sollte. Dies geschieht bei DNSSEC mit Hilfe von kryptografisch signierten DNS-Records. Die Schlüsselkette muss dabei von allen an einer DNS-Rekursion beteiligten Nameservern bis zum Trust-Anchor bei den Top-Level-Registraren konsistent sein, so, dass der Empfänger die Herkunft von DNS-Antworten eindeutig validieren kann. Bislang können DNS-Abfragen ohne DNSSEC abgefangen und beliebig verändert werden. Damit könnte ein Angreifer beispielsweise durch Manipulation von DNS-Paketen eMails oder HTTP-Anfragen auf einen anderen Server umleiten. Diese Signierung verhindert nun unbemerktes Verändern der DNS-Inhalte.

Überraschend ist die geringe Verbreitung von DNSSEC geschützen Domains zum jetzigen Zeitpunkt. Das liegt auch daran, dass die meisten Provider bisher gar kein DNSSEC unterstützen und oder sich erst seit kurzem mit dem Thema befassen.

WorNet ist diesen Schritt nun gegangen und hat seine Nameserver auf DNSSEC vorbereitet. Wir bieten ab sofort jede Domain auch in signierter Form an. Eine Migration bestehender Domains ist ebenfalls möglich. Auch unsere DNS-Resolver verifizieren Antworten von DNSSEC-Zonen.

WorNet startet mit der Domain des Spam- und Virenfilters SecuMail®. Die Domain secumail.de ist seit Juli 2016 mit DNSSEC ausgestattet. Weitere Domains werden folgen.

Kontaktieren Sie uns: 08171-418090 / support@wor.net!
Unser Support-Team beantwortet gerne Ihre Fragen zum Thema DNSSEC.

DNSSEC ist übrigens auch eine Voraussetzung für eine Technik namens DANE (DNS-based Authentication of Named Entities). Dabei handelt es sich um eine Erweiterung der TLS-Verschlüsselung z.B. beim eMail-Transport – ein weiteres aktuelles Thema bei SecuMail.

IT bleibt spannend!

Grüße
Hannes Wilhelm

 

Quellen:
http://www.heise.de/netze/artikel/Domain-Name-System-absichern-mit-DNSSEC-903318.html
http://www.heise.de/thema/DANE
https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities
http://blog.wor.net/2015/09/02/secumail-lernt-dane/

DSGVO Cookie-Einwilligung mit Real Cookie Banner