News

Überprüfung der Identität einer Website: DNSSEC wird erneuert

17 MAI 2019

Key DNSSEC

Eines der Grundelemente für die Sicherheit von Internet-Domain-Namen muss weltweit aktualisiert werden. Gemäss dem am 1. Februar 2018 veröffentlichten Zeitplan müssen die Signaturschlüssel der Sicherheitstechnik DNSSEC (Domain Name System Security Extensions) in der Rootzone des Domain-Namen-Systems (DNS) bis zum 11. Oktober 2018 erneuert werden. Diese Schlüssel dienen dazu, die Echtheit der DNS-Auskünfte sicherzustellen, und tragen so zur Absicherung des DNS bei. Internetbetreiberinnen sind von dieser Aktualisierung besonders betroffen und sollten sich deshalb entsprechend informieren. In der Schweiz wird DNSSEC derzeit nur bei rund 2 Prozent der .ch-Domain-Namen und 1,3 Prozent der .swiss-Domain-Namen verwendet. Diese Nutzungsraten dürften jedoch rapide ansteigen, da einige Registrare diese Option künftig standardmässig in ihre Angebote zur Registrierung von Domain-Namen aufnehmen. (Olivier Girard, Telecomdienste und Post)

Die internationale Verwaltungsstelle für Domain-Namen ICANN (Internet Corporation for Assigned Names and Numbers) hat den neuen Zeitplan zur Erneuerung der DNSSEC-Signaturschlüssel in der DNS-Rootzone veröffentlicht. Diesem vorausgegangen war ein erster Versuch, der Ende September 2017 in letzter Minute hatte unterbrochen werden müssen. Die ICANN hatte damals festgestellt, dass zu viele Systeme noch nicht aktualisiert waren.

Die Netzbetreiberinnen (hauptsächlich die Internet-Service-Provider [ISP], Unternehmensnetzbetreiberinnen und DNS-Dienstanbieterinnen) haben nun bis zum 11. Oktober 2018 Zeit, um die notwendigen Anpassungen vorzunehmen. In der Zwischenzeit sollen sie sich über die nächsten Fristen für die Erneuerung der DNSSEC-Signaturschlüssel in der Rootzone und vor allem über allenfalls zu treffende Massnahmen innerhalb ihrer Infrastruktur informieren. Tatsächlich könnte eine Schwachstelle in der mit DNSSEC gebildeten Vertrauenskette oder Chain of Trust schwerwiegende Folgen für einige wichtige webbasierte Systeme und Prozesse haben. Alle relevanten Informationen dazu sind auf der ICANN-Website verfügbar.

DNSSEC – ein Element zur Garantie der Echtheit einer Website

Mit den DNSSEC-Signaturschlüsseln kann sichergestellt werden, dass eine mit einem Domain-Namen bezeichnete Website (z. B. www.admin.ch) auch wirklich diejenige ist, die sie vorgibt zu sein. Diese DNS-Sicherheitserweiterungen sind der Allgemeinheit wenig bekannt. Durch sie wird eine Vertrauenskette gebildet, deren erstes Glied sich in der Rootzone des DNS befindet. Sie greifen somit am Ausgangspunkt der Umwandlung einer Webadresse (z. B. www.google.com) in eine IP-Adresse (z. B. 172.217.13.78). Diese Umwandlung – in der Fachsprache Auflösung genannt – erfolgt jedes Mal, wenn eine Webadresse in einem Browser eingegeben wird.

Bei diesem Prozess wird eine erste Anfrage an die Rootzone des DNS gesendet, die mit Informationen zur Top-Level-Zone (die “com”-Zone beim oben erwähnten Beispiel) antwortet. Eine zweite Anfrage wird danach an die “com”-Zone des DNS geschickt, die über die nächste Ebene, d. h. die “google.com”-Zone, Auskunft gibt. Schliesslich ergeht eine dritte Anfrage an die “google.com”-Zone des DNS, die wiederum Informationen über die Webadresse “www.google.com” und insbesondere ihre IP-Adresse liefert, über die der Browser auf die gewünschte Website zugreifen kann. Mit DNSSEC können die DNS-Antworten auf jede Anfrage im Auflösungsprozess authentifiziert werden. Ohne diese Kontrolle kann sich eine böswillige Person in einer der Ebenen dazwischenschalten, um die Internetnutzenden zu einer falschen, von ihr kontrollierten IP-Adresse zu leiten. Solche Angriffe werden Mittelsmannangriffe genannt (Man-in-the-Middle-Angriff, MITM).

Das DNSSEC-Authentifizierungssystem basiert auf den Prinzipien einer Public-Key-Infrastruktur (PKI). Vereinfacht gesagt signiert der DNS-Server die Informationen, die er an die direkt untergeordnete Ebene des DNS liefert, mit privaten kryptografischen Schlüsseln. Der Resolver (Auflöser), der die Informationen erhält, kann mithilfe von öffentlichen kryptografischen Schlüsseln des DNS-Servers die Herkunft authentifizieren und die Integrität der Daten überprüfen. Eines der Elemente dieses kryptografischen Schlüsselsystems, das ganz am Anfang der Vertrauenskette auf Ebene der DNS-Rootzone verwendet wird, wurde 2010 bei der Einführung von DNSSEC generiert und seitdem nicht mehr erneuert. Genau dieses Element, das als Schlüsselunterzeichnungs-Schlüssel key signing key, KSK bezeichnet wird, muss im Rahmen des derzeit von der ICANN geleiteten Erneuerungsprozesses ersetzt werden.

weiter

Sicher sicher sein mit der Unternehmens-IP!
Lassen Sie sich jetzt beraten.

Kontakt