dnssec

Einführung von DNSSEC

Seit Anfang des Jahres setzen wir DNSSEC zur Absicherung unserer Nameserver ein.

Was ist DNSSEC?

Bei DNSSEC handelt es sich um ein Verfahren zur kryptographischen Bestätigung von Nameserver-Abfragen. Ein Nameserver ist ein Server, welcher für die Namensauflösung von Domainnamen zuständig ist. Wenn Sie zum Beispiel in Ihrem Browser unsere Internetadresse http://www2.tralios.de eingeben, wird der Domainname www.tralios.de zuerst an Ihren Nameserver gesendet, welcher wiederum verschiedene weitere Server kontaktiert, um in Erfahrung zu bringen, welche IP-Adresse sich hinter dem Namen verbirgt. Erst wenn diese Adresse bekannt ist, wird vom Browser eine Verbindung zum eigentlichen Zielserver (in unserem Fall 46.232.228.70 bzw. 2a02:788:a:200::2 ) aufgebaut und von dort die Webseite abgerufen.

In der Vergangenheit liefen solche Nameserver-Anfragen jedoch immer unverschlüsselt ab und ohne eine Möglichkeit festzustellen, ob die erhaltene Antwort korrekt ist. Hierdurch war das Nameserversystem anfällig für Manipulationen durch böswillige Dritte, die sich in den Internetverkehr einklinken. So war es bislang möglich, mit genug krimineller Energie Domains auf fremde Server umzuleiten und somit Endanwendern falsche Webseiten unter zu schieben oder E-Mails abzufangen.

Wie funktioniert DNSSEC?

DNSSEC behebt diesen Missstand, indem es die Authentizität und Integrität der Daten sicher stellt. Internetnutzer können damit verifizieren, dass die erhaltenen Daten identisch zu denen sind, die der jeweilige Domainverwalter autorisiert hat. Hierdurch wird, mit Hilfe von kryptographischen Verfahren, eine Vertrauenskette , die sogenannte Chain of Trust aufgebaut. Diese beginnt bei den global für das Internet zuständigen Root-Nameservern, geht über die Nameserver der verschiedenen Länder (bzw. Domainendungen wie z.B. .de, .com, .net, .org) und von dort zu unseren eigenen Nameservern, auf welchen die Domains unserer Kunden verwaltet werden.

Wie ist der aktuelle Stand?

Da es sich bei DNSSEC um eine relativ junge Entwicklung handelt und eine Vertrauenskette nur dann aufgebaut werden kann, wenn alle in der Kette beteiligten Organisationen die hierfür benötigte technische Unterstützung bieten, ist es derzeit noch nicht möglich, alle Domains per DNSSEC abzusichern. Wir haben nun einen ersten Schritt gemacht und sichern unsere eigene Domain tralios.de, sowie alle Unterdomains seit Anfang des Jahres per DNSSEC ab. Kundendomains signieren wir auf Anfrage ebenfalls gerne, soweit dies bereits technisch möglich ist. Aktuell ist dies zumindest für alle .de-Domains der Fall. Sprechen Sie uns einfach an. Langfristig planen wir, alle von uns verwalteten Domains per DNSSEC abzusichern.