Datenschutz & Sicherheit
Podcast „Passwort“ Folge 37: DNSSEC, die DNS Security Extensions
Ohne DNS geht im Internet nicht viel. Die Auflösung von sprechenden Host- und Domainnamen zu schwer merkbaren IP-Adressen erleichtert den Zugang zum Netz ungemein und macht das Web in der heutigen Form erst möglich. Doch das Domain Name System ächzt unter der Last seiner Verantwortung: Die über unverschlüsselte und leicht fälschbare UDP-Pakete übertragenen DNS-Daten stellen ein Sicherheitsrisiko dar. Das soll DNSSEC beheben, die Domain Name System Security Extensions: Indem alle Antworten eines Nameservers digital signiert werden, sind Fälschungen leicht erkennbar.
Doch in der Praxis lauern viele Tücken, allen voran die zusätzliche technische Komplexität. Dass DNSSEC aber entgegen häufig propagierter Gerüchte gar nicht mehr fehleranfällig ist, erläutert der Podcast-Gast in dieser Folge, Peter Thomassen. Er ist einer der Gründer von deSEC, in der IETF zu DNSSEC aktiv und vereint tiefes technisches mit organisatorischem Wissen. Ideale Voraussetzungen, um Christopher, Sylvester und vor allem den Hörern die Tücken, das Potenzial und den aktuellen Stand von DNSSEC nahezubringen.
Diesmal zu Gast im „Passwort“-Podcast: Peter Thomassen
(Bild: Peter Thomassen)
Leicht umzusetzen, zu wenig Automatisierung
Zuvorderst steht die Erkenntnis: Wer keine eigenen Domains verwaltet, bekommt von DNSSEC meist nichts mit. Die Sicherheitserweiterungen verrichten ihre Arbeit im Hintergrund, kein grünes Häkchen oder Schloss-Symbol im Browser verrät ihre Existenz. Nützlich sind die dennoch und Domaininhaber sowie IT-Verantwortliche können mit einigen Handgriffen ihre eigenen Domains mit DNSSEC absichern.
Das eröffnet ihnen neue Möglichkeiten, etwa den Einsatz von DANE – DNS-based Authentication of Named Entities. Bei diesem Verfahren werden die Schlüssel digitaler Zertifikate im DNS hinterlegt und der übliche Vertrauensanker, die Zertifizierungsstelle (CA), wird überflüssig. Aber auch aus Compliance-Gründen kann DNSSEC sinnvoll sein, obgleich es derzeit in wenigen Standards explizit vorgeschrieben ist.
In einem Bereich ist das CA-Ökosystem den DNS Security Extensions jedoch einige Jahre voraus, so Experte Thomassen: der Automatisierung. Ließen sich Vorgänge rund um die DNSSEC-Absicherung von Domains leichter automatisch abwickeln und würden sie etwa von Hostern und Domainprovidern standardmäßig vorgenommen, könnte DNSSEC sich schneller durchsetzen und so die Sicherheit im Internet erhöhen.
Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(cku)