Seit kurzem ist es bei Hostpoint möglich, die eigenen Domains mit einer DNSSEC-Signatur zu versehen. Damit können DNS-Antworten auf ihre «Richtigkeit» geprüft werden. Doch was ist DNSSEC eigentlich genau? Und was bringt dieser Schutz? Hostpoint klärt auf.

Manches ist aus heutiger Sicht kaum mehr vorstellbar. Wenn man früher jemanden erreichen wollte, dessen Telefonnummer man nicht kannte, blieb oft nur der Weg über die Telefonauskunft oder der Blick ins Telefonbuch. Was in der Telekommunikation lange Zeit die Auskunft oder die Gelben Seiten waren, ist im Internet seit jeher das Domain Name System, oder kurz DNS.

Im Internet kommunizieren die Rechner über IP-Adressen. Aber wir Menschen sind bekanntermassen keine Computer und können uns die sperrigen und bisweilen recht langen Zahlenkombinationen kaum merken. Deshalb wurde bereits in den frühen Achtzigerjahren das DNS eingeführt (1984, um genau zu sein).

Das DNS ist eine dezentrale, weltweit verteilte Datenbank. Wenn ein Benutzer im Browser eine Domain wie beispielsweise www.hostpoint.ch eingibt, dann sorgt das DNS durch einen hierarchisch geordneten Abfrageprozess dafür, dass bei den zuständigen DNS-Servern die richtige IP-Adresse gefunden wird.


Solche Abfragen basieren aber jeweils auf Vertrauen. Man muss den Auskunft gebenden Instanzen vertrauen, dass die Informationen (bspw. die IP-Adresse oder die zuständigen Nameserver) die richtigen sind und unterwegs nicht verändert wurden.

DNS-Abfragen sind vor Missbrauch nicht gefeit


Leider kommt es immer wieder vor, dass dieses Vertrauen missbraucht wird. Ein Beispiel: Ein Internetbenutzer möchte die E-Banking-Seite seiner Bank aufrufen. Aber statt auf der «richtigen» Webseite zu landen, schleust ein Angreifer im DNS-Abfrageprozess eine falsche IP-Adresse ein, sodass der Benutzer auf eine falsche Webseite geführt wird. Dieses Beispiel zeigt auf, weshalb es im DNS Mechanismen braucht, die solche Szenarien verhindern oder zumindest den Betrugsversuch aufdecken können. Genau hier kommt DNSSEC ins Spiel.

DNSSEC steht für «Domain Name System Security Extensions» und funktioniert auf Basis überprüfbarer kryptografischer Signaturen. Diese sollen die Echtheit (Authentizität) und Unversehrtheit (Integrität) der abgefragten Daten im DNS sicherstellen. Bei der DNS-Abfrage kann dann durch diese Sicherheitserweiterungen geprüft werden, ob die empfangenen Daten korrekt und unverändert sind.

Nehmen wir nochmals unser Beispiel von oben: Beim Abfragen der IP-Adresse der E‑Banking-Webseite kommt es zum Versuch, dem Benutzer eine falsche IP-Adresse auszuspielen. Da jedoch die Bank ihre Domain mit DNSSEC geschützt hat, kann der unrechtmässige Versuch der Falschinformation entdeckt und vereitelt werden.

Es gibt jedoch auch wünschenswerte Dinge, die DNSSEC leider nicht kann. So werden die Informationen zwar gegen Verfälschung gesichert, nicht aber verschlüsselt. Zusätzliche Privacy bietet DNSSEC gegenüber ungesichertem DNS also nicht.

Als Domain-Besitzer das Internet ein Stück sicherer machen

Die meisten bekannten Domainendungen (Top-Level-Domains) wie beispielsweise .ch unterstützen inzwischen DNSSEC. Nun ist es Zeit, diese Technologie auch in der nächsttieferen DNS-Hierarchiestufe auszurollen: Die für alle Menschen weltweit käuflichen Domains wie etwa hostpoint.ch oder ihre-eigene-domain.ch.

Hostpoint möchte hier einen Beitrag leisten und bietet deshalb den Kunden nun die Möglichkeit, für ihre Domains DNSSEC zu aktivieren. Hostpoint gehörte zu den ersten Providern in der Schweiz, welche Sicherheitserweiterungen für externe Nameserver unterstützten. Nun ist es auch möglich, DNSSEC für Domains auf den Hostpoint-Nameservern zu aktivieren.

Für Hostpoint war es bei der Entwicklung und Implementierung dieser Funktion besonders wichtig, dass die komplexen technischen Abläufe und Zusammenhänge vollständig automatisiert im Hintergrund ablaufen. Deshalb müssen Kunden für die Aktivierung von DNSSEC weder tiefgehendes technisches Vorwissen mitbringen noch umfangreiche Konfigurationen durchführen. Die Aktivierung lässt sich ganz einfach und per Knopfdruck im Hostpoint Control Panel vornehmen, vorausgesetzt die entsprechende Domain läuft bereits auf den Hostpoint-Nameservern.

Übrigens:
Mit dem Webtool DNSViz lässt sich die Namensauflösung jeder beliebigen Domain visualisieren. So lässt sich bei DNSSEC-geschützten Domains die gesamte Beweiskette des hierarchischen Signaturprozesses nachvollziehen.


Für alle Hostpoint-Kunden, die DNSSEC für ihre Domains aktivieren möchten, geht’s hier lang:
Zu meinen Domains

Jetzt Domains ganz einfach bei Hostpoint registrieren:
Domain kaufen

Wer seine Domains zu Hostpoint transferieren möchte, kann dies hier tun:
Domaintransfer

Mit DNSSEC das Internet ein Stück sicherer machen

Mauro Landolt

Communications & PR Manager

0