Die deutsche Domain Registrierungsstelle Denic hat einen weiteren Schritt zur Absicherung der .de Domain mit dem DNSSEC-Protokoll genommen berichtet golem.de. Der für die Absicherung der .de-Zone erforderliche öffentliche Schlüssel ist nun aktiv.
Ab sofort können damit .de Domains per DNSSEC geschützt werden. Alle Vorbereitungen sind getroffen worden, so dass ab Mitte Juni eine Validierung signierter .de Domains möglich. Die .de-Zone folgt damit einer Vielzahl anderer Adresszonen, so wurden unter anderem bereits .se und .com per DNSSEC abgesichert.

Signierung erfolgt über Webhosting Provider oder eigenhändig

Die Signierung kann dabei über den Webhosting Provider bzw. Domain Anbieter erfolgen oder selbst vorgenommen werden. Im letzten Fall muss sich der Domaininhaber selbst um die Erzeugung von Schlüsseln, Signierung der Zonendaten und notwendige Aktualisierungen vor Ablauf der Gültigkeit kümmern.

Schutz vor Man-in-the-middle-Attacken

Das DNSSEC-Verfahren soll die Nutzer vor Man-in-the-middle Attacken schützen. Ohne signierte DNS-Einträge können z.B. Online-Banking Nutzer ohne ihr Wissen auf eine falsche IP weitergeleitet werden. So könnten dann z.B. die Zugangsdaten für das Online-Banking abgegriffen werden oder Überweisungen abgeändert werden, während dem Nutzer ein korrekter Stand des Kontos suggeriert wird. Diese Angriffe sind für Nutzer ohne genaue Prüfung des Internetverkehrs nicht erkennbar.

Bisher noch kaum Unterstützung durch Anwendungen

Nutzer können die Domain-Signierung allerdings bisher kaum überprüfen. Die Zugangsprovider werten die Ergebnisse bisher kaum aus. Wer einen eigenen BIND DNS-Server im Netzwerk betreibt, kann aber bereits Domains validieren. Überschaubar ist allerdings noch die Zahl der Anwendungen, die die Daten nutzen. Immerhin bietet ein Firefox-Addon die Validierung der Einträge an. Alle anderen Nutzer schauen bisher noch in die Röhre. In Zukunft soll die Überprüfung der Einträge vor allem aber auch durch die Internetzugangsanbieter erfolgen. Mit zunehmender Durchsetzung der DNSSEC-Validierung ist dann auch mit weiteren Anwendungen zu rechnen, die ihre Verbindungen entsprechend absichern.

Werden Sie Ihre Domains per DNSSEC absichern? Wenn ja, nur für eine zukünftige Domain Registrierung oder auch für bereits bestehende Domains?