Stichtag im Namen der Sicherheit

Am 11. Oktober tauscht die ICANN, die Internet Corporation for Assigned Names and Numbers, zum ersten Mal weltweit den obersten Schlüssel für das Sicherheitsverfahren DNSSEC. Mit Hilfe des so genannten Key Signing Key (KSK) wird sichergestellt, dass in der Kommunikation zwischen Servern die Namensauflösung, also die Umwandlung eines Domainnamens in eine IP-Adresse, nicht manipuliert werden kann. So ist der Datenverkehr im Internet generell besser geschützt, beispielsweise vor Man-in-the-middle-Attacken. Die Herausforderung: Zum Stichtag muss neben den Servern der Internetprovider auch jeder DNS-Server, sozusagen das „Adressbuch“ eines bestimmten Domainbereichs, der DNSSEC unterstützt, für das Schlüsselupdate richtig konfiguriert sein. Die DNS-Server von GMX und WEB.DE sind auf den Wechsel bestens vorbereitet.

11. Oktober 2018 von Christian Friemel

Am 11.10.2018 tauscht die ICANN weltweit den DNSSEC Key Signing Key für die DNS Root Zone. (c) Shutterstock

Dabei betrifft das Update den obersten Key Signing Key in der Root-Zone von DNSSEC, also noch oberhalb der Toplevel-Domains wie .de, .net oder .com. Der Key Signing Key wird im hierachischen Aufbau von DNS verwendet, um jeweils den Zone-Signing-Key der Ebene darunter zu signieren. Wenn beispielsweise das Ziel einer Datenverbindung www.gmx.net ist, erkundigt sich der anfragende Server bei einem DNS-Recurser nach der genauen IP-Adresse, auf die der Domainname gmx.net verweist. Der DNS-Recurser löst dann diesen Domainnamen in die zugehörige IP-Adresse auf (in diesem Fall 82.165.229.87) und sendet sie als Antwort an den anfragenden Server zurück. Frage und Antwort können bei dieser „Unterhaltung“ per DNSSEC validiert und damit für beide Seiten die Echtheit der Information bestätigt werden.

Laut ICANN sind von den 1535 weltweiten Top-Level-Domains inzwischen rund 1400 Domains per DNSSEC abgesichert. Für all diese Domains gilt ab dem Stichtag bei der DNS-Adressauflösung der neue Key Signing Key. Um einen reibungslosen Übergang zu schaffen, erlaubt die ICANN in der Übergangszeit eine Validierung auf Basis des aktuellen und des neuen Key Signing Keys.

Doppelte Schlüssellänge – Doppelte Sicherheit

Beim anstehenden Update verdoppelt die ICANN nun die Schlüssellänge des Key Signing Keys von bisher 1024 auf 2048 Zeichen. Das macht es Internetkriminellen erheblich schwerer, die Identität von Servern zu imitieren und so beispielsweise Datenanfragen auf gefälschte Internet-Seiten umzuleiten oder Datenpakete wie E-Mails, die für andere Server bestimmt sind, abzufangen.
Ein Risiko in der Update-Phase besteht darin, dass auch vertrauenswürdige DNS-Server nicht richtig auf den Wechsel vorbereitet sind. Kennt der Server die neuen Signatur-Keys nicht, bricht die Vertrauenskette, und er kann die DNS-Anfrage nicht auf ihre Echtheit überprüfen. Das kann unter Umständen eine Fehlermeldung auslösen, oder das DNS bricht, je nach Konfiguration, die Namensauflösung komplett ab. Theoretisch wären so ganze Server nicht mehr erreichbar, E-Mails könnten nicht mehr an die Empfänger zugestellt werden.

DNS-Server für Update konfiguriert

Bei GMX und WEB.DE ist DNSSEC bereits seit 2016 sowohl für die Webangebote als auch für die E-Mail-Services zusammen mit DANE im Einsatz. Die IT-Infrastruktur-Experten der beiden größten deutschen E-Mail-Anbieter sind auf das Sicherheitsupdate gründlich vorbereitet. Serverseitig wurden alle DNS-Server für den reibungslosen Schlüsselaustausch konfiguriert. Ein sehr geringes Risiko bleibt lediglich auf Anwenderseite bestehen: Hier könnten unter anderem nicht angepasste Software Clients, Browser Plug-ins oder veraltete Consumer-Hardware (z.B. ältere Internet-Router) die Schwachstelle sein, falls die Endgeräte DNSSEC nutzen, um die Echtheit von DNS Informationen zu überprüfen.

Kategorie: Sicherheit

Verwandte Themen

Praxistipp: Die Cloud als Reisebegleiter im Sommerurlaub 2018

Rund jeder zweite Internetnutzer in Deutschland (45,9%) verwendet einen Dienst zum Speichern privater Daten im Netz. Gerade jetzt zur Urlaubszeit ist das besonders praktisch: Im Cloud-Speicher lassen sich Urlaubsfotos ablegen, für den Notfall Sicherheitskopien von Ausweis- und Reisedokumenten deponieren und Daten jederzeit von nahezu jedem Gerät mit Internetzugang aus verfügbar machen.
mehr

Fünf Jahre nach Snowden: Misstrauen gegenüber US-Anbietern auf Höchstwert

Im fünften Jahr nach den Enthüllungen von Edward Snowden erreichen die Bedenken gegen US-Anbieter einen neuen Höchstwert. Dies zeigt eine Statistik von Convios Consulting im Auftrag von WEB.DE und GMX. mehr