Stichtag im Namen der Sicherheit

Am 11. Oktober tauscht die ICANN, die Internet Corporation for Assigned Names and Numbers, zum ersten Mal weltweit den obersten Schlüssel für das Sicherheitsverfahren DNSSEC. Mit Hilfe des so genannten Key Signing Key (KSK) wird sichergestellt, dass in der Kommunikation zwischen Servern die Namensauflösung, also die Umwandlung eines Domainnamens in eine IP-Adresse, nicht manipuliert werden kann. So ist der Datenverkehr im Internet generell besser geschützt, beispielsweise vor Man-in-the-middle-Attacken. Die Herausforderung: Zum Stichtag muss neben den Servern der Internetprovider auch jeder DNS-Server, sozusagen das „Adressbuch“ eines bestimmten Domainbereichs, der DNSSEC unterstützt, für das Schlüsselupdate richtig konfiguriert sein. Die DNS-Server von GMX und WEB.DE sind auf den Wechsel bestens vorbereitet.

11. Oktober 2018 von Christian Friemel

Am 11.10.2018 tauscht die ICANN weltweit den DNSSEC Key Signing Key für die DNS Root Zone. (c) Shutterstock

Dabei betrifft das Update den obersten Key Signing Key in der Root-Zone von DNSSEC, also noch oberhalb der Toplevel-Domains wie .de, .net oder .com. Der Key Signing Key wird im hierachischen Aufbau von DNS verwendet, um jeweils den Zone-Signing-Key der Ebene darunter zu signieren. Wenn beispielsweise das Ziel einer Datenverbindung www.gmx.net ist, erkundigt sich der anfragende Server bei einem DNS-Recurser nach der genauen IP-Adresse, auf die der Domainname gmx.net verweist. Der DNS-Recurser löst dann diesen Domainnamen in die zugehörige IP-Adresse auf (in diesem Fall 82.165.229.87) und sendet sie als Antwort an den anfragenden Server zurück. Frage und Antwort können bei dieser „Unterhaltung“ per DNSSEC validiert und damit für beide Seiten die Echtheit der Information bestätigt werden.

Laut ICANN sind von den 1535 weltweiten Top-Level-Domains inzwischen rund 1400 Domains per DNSSEC abgesichert. Für all diese Domains gilt ab dem Stichtag bei der DNS-Adressauflösung der neue Key Signing Key. Um einen reibungslosen Übergang zu schaffen, erlaubt die ICANN in der Übergangszeit eine Validierung auf Basis des aktuellen und des neuen Key Signing Keys.

Doppelte Schlüssellänge – Doppelte Sicherheit

Beim anstehenden Update verdoppelt die ICANN nun die Schlüssellänge des Key Signing Keys von bisher 1024 auf 2048 Zeichen. Das macht es Internetkriminellen erheblich schwerer, die Identität von Servern zu imitieren und so beispielsweise Datenanfragen auf gefälschte Internet-Seiten umzuleiten oder Datenpakete wie E-Mails, die für andere Server bestimmt sind, abzufangen.
Ein Risiko in der Update-Phase besteht darin, dass auch vertrauenswürdige DNS-Server nicht richtig auf den Wechsel vorbereitet sind. Kennt der Server die neuen Signatur-Keys nicht, bricht die Vertrauenskette, und er kann die DNS-Anfrage nicht auf ihre Echtheit überprüfen. Das kann unter Umständen eine Fehlermeldung auslösen, oder das DNS bricht, je nach Konfiguration, die Namensauflösung komplett ab. Theoretisch wären so ganze Server nicht mehr erreichbar, E-Mails könnten nicht mehr an die Empfänger zugestellt werden.

DNS-Server für Update konfiguriert

Bei GMX und WEB.DE ist DNSSEC bereits seit 2016 sowohl für die Webangebote als auch für die E-Mail-Services zusammen mit DANE im Einsatz. Die IT-Infrastruktur-Experten der beiden größten deutschen E-Mail-Anbieter sind auf das Sicherheitsupdate gründlich vorbereitet. Serverseitig wurden alle DNS-Server für den reibungslosen Schlüsselaustausch konfiguriert. Ein sehr geringes Risiko bleibt lediglich auf Anwenderseite bestehen: Hier könnten unter anderem nicht angepasste Software Clients, Browser Plug-ins oder veraltete Consumer-Hardware (z.B. ältere Internet-Router) die Schwachstelle sein, falls die Endgeräte DNSSEC nutzen, um die Echtheit von DNS Informationen zu überprüfen.

Kategorie: Sicherheit
Schlagworte: Dane, DNSSEC, ICANN, Mail, Security, Sicherheit

Verwandte Themen

Datenschutz: Browser-History ist für die Deutschen das privateste Geheimnis

Das Internet verlangt täglich mehr und mehr persönliche Daten. Um so wichtiger sind daher klare Spielregeln: Welche Daten gebe ich online wann an welche Unternehmen weiter? Und was dürfen die damit tun? Passend zum Europäischen Datenschutztag am 28. Januar zeigt eine repräsentative Studie der Convios Consulting GmbH im Auftrag von GMX und WEB.DE: Bei bestimmten Daten sind die Deutschen besonders vorsichtig. mehr

GMX und WEB.DE registrieren 40% mehr Spam

Von Januar bis August 2023 haben die beiden größten deutschen E-Mail-Anbieter GMX und WEB.DE wöchentlich rund 1,5 Milliarden E-Mails als Spam oder Phishing identifiziert. Im Vorjahreszeitraum waren es noch knapp 1,1 Milliarden Nachrichten - ein Anstieg von fast 40 Prozent, der auch auf KI-generierte Spam-Mails zurückzuführen ist. Besonders im Trend sind aktuell Paketservice-Phishing und Anti-Viren-Spam. mehr