DNSSEC und DANE aktiviert

Die englische Homepage unter (www.)pothe.com wird seit Kurzem über DNSSEC und DANE zusätzlich abgesichert. Hierbei handelt es sich zunächst um einen Testbetrieb, bei Erfolg werden in Kürze auch die deutschsprachigen Domains pothe.de und proweser.de (letztere wird Stand Juni 2015 ausschließlich für E-Mails genutzt) folgen. Und Sie haben auch die Möglichkeit, dieses einfach zu überprüfen, wenn Sie das wünschen.

Doch zunächst eine Frage: Was bedeuten die Begriffe DNSSEC und DANE überhaupt?

Wenn Sie eine Website aufrufen wollen, benötigt Ihr Webbrowser zunächst die sogenannte IP-Adresse der Seite. D. h. er stellt an einen sogenannten DNS-Server (Nameserver) die Frage: „Unter welcher Adresse kann ich die Seite www.pothe.com erreichen?“ und erhält dann eine oder mehrere IP-Adressen als Antwort, in diesem Fall die 88.198.8.88 (IPv4) und 2a01:4f8:130:42e1::1:2 (IPv6).

Da diese Namensanfragen unverschlüsselt durch das Internet verschickt werden, was leider noch immer Stand der Technik ist, können diese Daten auf dem Weg vom DNS-Server zu Ihrem PC leicht durch Geheimdienste oder andere Kriminelle verändert und somit Ihre Anfrage auf Fremdserver umgeleitet werden (zugegebenermaßen dürfte unsere Website für diese Zwecke relativ uninteressant sein, aber bei der Website Ihrer Bank mit Online-Banking sieht das schon ganz anders aus).

Mit DNSSEC werden die Antworten auf Namensanfragen signiert ausgeliefert. Das Überprüfen dieser Signaturen erfolgt zuverlässig, da die öffentlichen Signaturen der obersten Nameserver bekannt sind und somit eine geschlossene Vertrauenskette vorliegt („Chain of Trust“). Wenn Sie weitere Informationen zu diesem Thema wünschen, lege ich Ihnen den Wikipedia-Artikel zu DNSSEC ans Herz.

Um jetzt nochmal auf die Banken zurückzukommen: Gerade die Finanzinstitute täten ein gutes daran, DNSSEC einzusetzen. Leider macht das Stand heute so gut wie kein Institut. Bekannt ist mir als rühmliche Ausnahme die BHW Bausparkasse, welche als leuchtendes Beispiel vorangeht, leider wird aber DANE hier auch noch nicht unterstützt.

Doch was ist jetzt DANE?

Für verschlüsselte Verbindungen im Internet wird TLS eingesetzt, das begegnet Ihnen zum Beispiel im Browser, wenn Webseiten mittels https:// statt http:// aufgerufen werden.

Um eine TLS-verschlüsselte Verbindung zu einem Server aufzubauen, benötigt dieser ein TLS-Zertifikat, welches von einer Certification Authority (CA) ausgestellt wird. Im Browser oder Betriebssystem sind die Zertifikate einer Vielzahl von CAs hinterlegt, denen automatisch vertraut wird. Sollte die CA des ausgelieferten TLS-Zertifikats nicht bekannt sein, zeigt der Browser eine Fehlermeldung an, dass der Verbindung nicht vertraut wird.

In der Vergangenheit gab es nun Fälle, bei denen CAs gehackt wurden und dort TLS-Zertifikate für beliebige Domain-Namen ausgestellt werden konnten. Mit einem solchen gefälschten Zertifikat lassen sich dann Man-in-the-Middle-Angriffe (MITM) auf verschlüsselte Verbindungen ausführen und die übertragenen Daten auslesen oder aber gleich gefälschte Webseiten erzeugen, ohne dass der Besucher diese Fälschung bemerkt. Dagegen gab es bis vor kurzem keinen praktikablen Schutz.

Den gibt es nun in Form des Standards DANE, bei dem der Administrator eines Servers das jeweils gültige Zertifikat im DNS-Eintrag der Domain hinterlegt. Wenn diese mit DNSSEC gesichert ist, können damit die Gültigkeit eines Zertifikats validiert und MITM-Angriffe bzw. Fälschungen erschwert werden. Und im Fall der Domain pothe.com ist genau dieses nun testweise erfolgt.

Und wie kann ich jetzt überprüfen, ob eine Seite mittels DNSSEC und DANE geschützt ist?

Leider können die aktuellen Webbrowser bis heute von Haus aus keine Überprüfung mittels DNSSEC und DANE, sodass ein Plugin installiert werden muss. Hier empfehlen sich die Plugins der CZ NIC, dem tschechischen Pendant zur deutschen DeNIC. Download DNSSEC / DANE Browser-Plugins für Firefox, Chrome, Internet Explorer, Opera, Safari u. v. m.

Im Beispiel von Firefox sieht das dann so aus: DNSSEC-DANE-www.pothe.comDer grüne Kasten mit dem Schlüssel zeigt an, dass www.pothe.com mittels DNSSEC gesichert ist, der grüne Kreis mit dem Schloss wiederum, dass das TLS-Zertifikat mittels DANE ebenfalls gesichert ist. Würde auf dem Weg zwischen unserem Server und Ihrem PC etwas von irgendjemandem verändert werden, würden entsprechende rote Symbole als Warnung dort erscheinen.

Wenn Sie ohne Browser-Plugin einmal Seiten überprüfen wollen, ob diese mittels DNSSEC und DANE gesichert sind, so können Sie dieses mit dem DANE-Validator auf dane.sys4.de überprüfen.