Stichtag im Namen der Sicherheit

Am 11. Oktober tauscht die ICANN, die Internet Corporation for Assigned Names and Numbers, zum ersten Mal weltweit den obersten Schlüssel für das Sicherheitsverfahren DNSSEC. Mit Hilfe des so genannten Key Signing Key (KSK) wird sichergestellt, dass in der Kommunikation zwischen Servern die Namensauflösung, also die Umwandlung eines Domainnamens in eine IP-Adresse, nicht manipuliert werden kann. So ist der Datenverkehr im Internet generell besser geschützt, beispielsweise vor Man-in-the-middle-Attacken. Die Herausforderung: Zum Stichtag muss neben den Servern der Internetprovider auch jeder DNS-Server, sozusagen das „Adressbuch“ eines bestimmten Domainbereichs, der DNSSEC unterstützt, für das Schlüsselupdate richtig konfiguriert sein. Die DNS-Server von GMX und WEB.DE sind auf den Wechsel bestens vorbereitet.

11. Oktober 2018 von Christian Friemel

Am 11.10.2018 tauscht die ICANN weltweit den DNSSEC Key Signing Key für die DNS Root Zone. (c) Shutterstock

Dabei betrifft das Update den obersten Key Signing Key in der Root-Zone von DNSSEC, also noch oberhalb der Toplevel-Domains wie .de, .net oder .com. Der Key Signing Key wird im hierachischen Aufbau von DNS verwendet, um jeweils den Zone-Signing-Key der Ebene darunter zu signieren. Wenn beispielsweise das Ziel einer Datenverbindung www.gmx.net ist, erkundigt sich der anfragende Server bei einem DNS-Recurser nach der genauen IP-Adresse, auf die der Domainname gmx.net verweist. Der DNS-Recurser löst dann diesen Domainnamen in die zugehörige IP-Adresse auf (in diesem Fall 82.165.229.87) und sendet sie als Antwort an den anfragenden Server zurück. Frage und Antwort können bei dieser „Unterhaltung“ per DNSSEC validiert und damit für beide Seiten die Echtheit der Information bestätigt werden.

Laut ICANN sind von den 1535 weltweiten Top-Level-Domains inzwischen rund 1400 Domains per DNSSEC abgesichert. Für all diese Domains gilt ab dem Stichtag bei der DNS-Adressauflösung der neue Key Signing Key. Um einen reibungslosen Übergang zu schaffen, erlaubt die ICANN in der Übergangszeit eine Validierung auf Basis des aktuellen und des neuen Key Signing Keys.

Doppelte Schlüssellänge – Doppelte Sicherheit

Beim anstehenden Update verdoppelt die ICANN nun die Schlüssellänge des Key Signing Keys von bisher 1024 auf 2048 Zeichen. Das macht es Internetkriminellen erheblich schwerer, die Identität von Servern zu imitieren und so beispielsweise Datenanfragen auf gefälschte Internet-Seiten umzuleiten oder Datenpakete wie E-Mails, die für andere Server bestimmt sind, abzufangen.
Ein Risiko in der Update-Phase besteht darin, dass auch vertrauenswürdige DNS-Server nicht richtig auf den Wechsel vorbereitet sind. Kennt der Server die neuen Signatur-Keys nicht, bricht die Vertrauenskette, und er kann die DNS-Anfrage nicht auf ihre Echtheit überprüfen. Das kann unter Umständen eine Fehlermeldung auslösen, oder das DNS bricht, je nach Konfiguration, die Namensauflösung komplett ab. Theoretisch wären so ganze Server nicht mehr erreichbar, E-Mails könnten nicht mehr an die Empfänger zugestellt werden.

DNS-Server für Update konfiguriert

Bei GMX und WEB.DE ist DNSSEC bereits seit 2016 sowohl für die Webangebote als auch für die E-Mail-Services zusammen mit DANE im Einsatz. Die IT-Infrastruktur-Experten der beiden größten deutschen E-Mail-Anbieter sind auf das Sicherheitsupdate gründlich vorbereitet. Serverseitig wurden alle DNS-Server für den reibungslosen Schlüsselaustausch konfiguriert. Ein sehr geringes Risiko bleibt lediglich auf Anwenderseite bestehen: Hier könnten unter anderem nicht angepasste Software Clients, Browser Plug-ins oder veraltete Consumer-Hardware (z.B. ältere Internet-Router) die Schwachstelle sein, falls die Endgeräte DNSSEC nutzen, um die Echtheit von DNS Informationen zu überprüfen.

Kategorie: Sicherheit
Schlagworte: Dane, DNSSEC, ICANN, Mail, Security, Sicherheit

Verwandte Themen

Cyber-Kriminalität: GMX und WEB.DE erkennen rund 35 Prozent mehr Spam

Die Menge an abgewehrten Spam-Mails bei Deutschlands größten E-Mail-Anbietern GMX und WEB.DE steigt. Im dritten Quartal 2024 haben die beiden Dienste wöchentlich rund 1,9 Milliarden potenziell gefährliche E-Mails aus dem eingehenden Nachrichtenstrom herausgefiltert. Im Vorjahresquartal waren es noch 1,4 Milliarden. Im Trend liegen gefälschte E-Mails von Paketunternehmen und Kundenservice-Phishing. mehr

GMX und WEB.DE verbessern Passwortsicherheit

Deutschlands meist genutzte E-Mail-Anbieter GMX und WEB.DE führen neue Funktionen für mehr Passwortsicherheit ein. Dazu zählen erweiterte Richtlinien für Passwortlänge und -komplexität sowie ein automatischer Abgleich mit besonders gefährdeten Passwörtern. Zusätzlich sichert die Funktion „Bekannte Geräte“ künftig Logins von neuen Endgeräten per Mail App auf dem Smartphone ab. mehr