Ohne DNS geht im Internet nicht viel. Die Auflösung von sprechenden Host- und Domainnamen zu schwer merkbaren IP-Adressen erleichtert den Zugang zum Netz ungemein und macht das Web in der heutigen Form erst möglich. Doch das Domain Name System ächzt unter der Last seiner Verantwortung: Die über unverschlüsselte und leicht fälschbare UDP-Pakete übertragenen DNS-Daten stellen ein Sicherheitsrisiko dar. Das soll DNSSEC beheben, die Domain Name System Security Extensions: Indem alle Antworten eines Nameservers digital signiert werden, sind Fälschungen leicht erkennbar.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Podcasts immer laden
Doch in der Praxis lauern viele Tücken, allen voran die zusätzliche technische Komplexität. Dass DNSSEC aber entgegen häufig propagierter Gerüchte gar nicht mehr fehleranfällig ist, erläutert der Podcast-Gast in dieser Folge, Peter Thomassen. Er ist einer der Gründer von deSEC, in der IETF zu DNSSEC aktiv und vereint tiefes technisches mit organisatorischem Wissen. Ideale Voraussetzungen, um Christopher, Sylvester und vor allem den Hörern die Tücken, das Potenzial und den aktuellen Stand von DNSSEC nahezubringen.
![Peter Thomassen]()
![Peter Thomassen]()
Diesmal zu Gast im "Passwort"-Podcast: Peter Thomassen
(Bild: Peter Thomassen)
Zuvorderst steht die Erkenntnis: Wer keine eigenen Domains verwaltet, bekommt von DNSSEC meist nichts mit. Die Sicherheitserweiterungen verrichten ihre Arbeit im Hintergrund, kein grünes Häkchen oder Schloss-Symbol im Browser verrät ihre Existenz. Nützlich sind die dennoch und Domaininhaber sowie IT-Verantwortliche können mit einigen Handgriffen ihre eigenen Domains mit DNSSEC absichern.
Das eröffnet ihnen neue Möglichkeiten, etwa den Einsatz von DANE – DNS-based Authentication of Named Entities. Bei diesem Verfahren werden die Schlüssel digitaler Zertifikate im DNS hinterlegt und der übliche Vertrauensanker, die Zertifizierungsstelle (CA), wird überflüssig. Aber auch aus Compliance-Gründen kann DNSSEC sinnvoll sein, obgleich es derzeit in wenigen Standards explizit vorgeschrieben ist.
In einem Bereich ist das CA-Ökosystem den DNS Security Extensions jedoch einige Jahre voraus, so Experte Thomassen: der Automatisierung. Ließen sich Vorgänge rund um die DNSSEC-Absicherung von Domains leichter automatisch abwickeln und würden sie etwa von Hostern und Domainprovidern standardmäßig vorgenommen, könnte DNSSEC sich schneller durchsetzen und so die Sicherheit im Internet erhöhen.
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
![Jetzt heise Security Pro entdecken]()
![Jetzt heise Security Pro entdecken]()
(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!
Wochenpass bestellen
Sie haben heise+ bereits abonniert?
Hier anmelden.
Oder benötigen Sie
mehr Informationen zum heise+ Abo
(Ursprünglich geschrieben von Heise)
Kommentare