Überprüfung der Domain seafolly.ch auf https://dnssec-analyzer.verisignlabs.com/seafolly.ch

DNSSEC für alle – jetzt bei Novatrend!

Das ist jetzt wieder so ein abstraktes, aber wirklich wichtiges Thema, also haltet bitte durch :).

Es geht prinzipiell um das „sichere“ Aufrufen von Websites im Browser, das Abrufen von E-Mails und alle Aktionen, die mit einem Domainnamen zu tun hat. Normalerweise tippst du beispielsweise example.com im Browser ein und dein Browser verzweigt auf die entsprechende Website. Das funktioniert gut, geht blitzschnell und man macht sich keine Gedanken darüber.

Das Domain Name System (DNS) stellt diesen Bezug zwischen dem lesbaren Domainnamen (seafolly.ch) und einer IP-Adresse (194.150.248.139) her. Die Informationen dazu (Resource Records) stehen in der Zonendatei der Domain. Diese Datei liegt auf einem Nameserver und dieser Nameserver sendet die Information zum Client (Browser). Der Client steuert dann die richtige IP-Adresse an.

Stelle dir mal vor, jemand spielt dir nur vor, example.com zu sein.

Bei example.com ist das vielleicht noch nicht schlimm, aber bei „meine-bank.ch“ oder „mein-emailkonto.ch“ würde man schon gern mit der echten Bank und dem echten E-Mail Provider verbunden werden. Das so eine Fälschung überhaupt möglich ist, rührt daher, dass das DNS-Protokoll eine Prüfung der Identität des Absenders nicht vorsieht und diese Absender – Identität relativ einfach gefälscht werden kann. Dem Empfänger wird in so einem Fall eine andere IP-Adresse übermittelt und der Browser verzeigt dorthin. Der Browser erkennt überhaupt keinen Grund/Befehl an der übermittelten IP-Adresse zu zweifeln.

Das Problem ist seit längerer Zeit bekannt und so kam es bereits im Jahr 1997 zu einer ersten Definition der Domain Name System Security Extensions (DNSSEC). Diese Erweiterungen erlauben die kryptografische Signierung des Administrators einer Domain bei seinem Nameserver. In der Zonendatei der Domain werden Schlüssel hinterlegt, die der Empfänger überprüfen kann. Das geschieht automatisch durch den Browser und man merkt nur etwas davon, wenn die Überprüfung fehlschlägt. In diesem Fall meldet der Browser die Website als nicht erreichbar. Mit diesem Verhalten ist zu 100% gewährleistet, dass man nicht bei der „falschen“ Bank landet und das ist gut!

DNSSEC (Domain Name System Security Extensions) ist eine Sicherheits-Erweiterung für das Domain Name System und garantiert die Echtheit (Authentizität) und Vollständigkeit (Integrität) von DNS-Antworten.

Aus der Sicht des Datenschutzes ändert sich zunächst nichts. Die DNSSEC Daten werden ebenfalls im Klartext übermittelt. Unterbunden wird „nur“ das „Unterjubeln“ einer falschen IP-Adresse. Unter dem Begriff „Unterjubeln“ verstehe ich Cache Poisoning und DNS-Spoofing.

Auch heute noch werden in der Schweiz nur etwa 6% der Domains über DNSSEC gesichert. Das entspricht etwa 140,000 Domainnamen.

https://www.nic.ch/de/statistics/dnssec/

Hier bei Novatrend kannst du nun seit dem 5. März 2021 deine Domains mit einem kryptografischen Schlüssel signieren! In Zukunft werden die Domains, die bei Novatrend registriert sind, atomatisch signiert.

Das ist jetzt mal einfach so getweetet aber glaubt uns bitte: Das war richtig Arbeit und wir sind sehr glücklich darüber :).

DNSSEC für Domains konfigurieren.

Ob bei einer Domain DNSSEC aktiviert ist, kannst du beispielsweise hier https://dnssec-analyzer.verisignlabs.com/ überprüfen. Im Screenshot das Beispiel seafolly.ch nach erfolgreicher Aktivierung.

seafolly.ch nach erfolgreicher Aktivierung

Schlüssel erstellen

Im Kontrollzentrum cPanel findest du den Zoneneditor für deine Domains im Bereich Domänen. Im Zoneneditor kannst du alle Einstellungen für deine Domain vornehmen.

cPanel Zoneneditor

Klicke auf den Button DNSSEC um die Schlüsselkonfiguration vorzunehmen.

Auswahl DNSSEC

Wenn du schon einen Schlüssel für deine Domain hast, so kannst du ihn hier importieren. Das kann der Fall sein, wenn die Domain bereits DNSSEC gesichert war und du zu uns umgezogen bist. Wenn du keinen Schlüssel hast, klicke auf den SCHLÜSSEL ERSTELLEN Button.

Schlüssel erstellen

Die Standard-Einstellungen sehen einen Schlüsselsatz vor, der von den meisten Domain-Registraren akzeptiert wird. Dabei unterscheidet man die Nummer des Algorithmus. Je höher diese Nummer ist, desto komplexer ist der Schlüssel. Inwieweit es die Sicherheit erhöht kommt auf den konkreten Fall an. Kleinere Schlüssel sind ähnlich sicher aber erheblich effizienter als längere Schlüssel, da sie weniger Rechenleistung benötigen. Hier ein Linktip zum Thema, der ein wenig ausführlicher auf die Vor- und Nachteile eingeht: https://crypto.stackexchange.com/questions/1190/why-is-elliptic-curve-cryptography-not-widely-used-compared-to-rsa

Standard und überall akzeptiert ist momentan Nummer der Algorithmus Nr. 8, von cPanel empfohlen wird die Nummer 13. Daher kannst du jetzt entweder auf ERSTELLEN klicken, wenn du mit der Nummer 8 zufrieden bist, oder auf ANPASSEN, wenn du den anderen Algorithmus benutzen willst.

Schlüssel erstellen ODER anpassen

In der anpassbaren Übersicht kannst du den entsprechenden Algorithmus wählen.

Angepasste Schlüsselerstellung

Nach der Auswahl kannst du die Schlüssel erstellen. Die Details werden dir angezeigt. Im Screenshot habe ich die Schlüssel ausgeblendet. Wichtig sind die jeweiligen Algorithmus-Nummern.

DNSSEC Schlüsseldetails in cPanel

Je nachdem, wo du deine Domain registriert hast, musst du bei deinem Domain-Provider die gerade erstellten Schlüssel eintragen.

Domain bei Novatrend

Am einfachsten ist es, wenn deine Domain bei uns registriert ist. Wechsle einfach in die Domainverwaltung, wähle die entsprechende Domain aus und klicke im unteren Bereich den Button DNSSEC verwalten.

Domainverwaltung bei Novatrend

Es öffnet sich ein Formular in dem du vier Werte eingeben musst.

  1. den Key Tag (Schlüssel-Tag)
  2. den verwendeten Algorithmus (Alg)
  3. den Digest Type
  4. den Hash-Wert
Schlüsseleingabe bei Novatrend

Übertrage einfach die Werte aus dem cPanel. Am Einfachsten ist es, zu diesem Zweck zwei Fenster auf dem Bildschirm zu öffnen, siehe Screenshot.

Übertragen der Werte in Domainverwaltung

Domain bei einem anderen Provider (Beispiel Amenic.ch)

Im meinem Fall (seafolly.ch) ist die Domain bei amenic.ch registriert. DNSSEC muss hier einfach per Button-Klick aktiviert werden.

Domain Provider (hier: amenic.ch)

Nachdem DNSSEC aktiviert wurde, können das Schlüssel-Tag (Key Tag, der Algorithmus (Alg), der Digest Typ und der Hash eingetragen werden.

Man muss nun etwas warten, bis die Änderungen aktiv werden. Bei mir hat es ein paar Minuten gebraucht, bis alle Änderungen an die CH-Zone übermittelt wurden.

Jetzt ist die Domain per DNSSEC gesichert und Besucher landen auch wirklich auf deiner Website.

Tip: cPanel bietet zu diesem Thema auch ein Englischsprachiges Video an.

Fazit

Mit der Verwendung von DNSSEC tust du dir und den Besuchern deiner Website einen grossen Gefallen. Sie können sicher sein, dass sie, wenn sie deinen Domain-Namen eingeben, auf deiner Website landen.

Links


tl;dr: Mit DNSSEC gesicherte Domains sorgen für mehr Sicherheit im World Wide Web.


Beitrag veröffentlicht

in

, , , , ,

von

Schlagwörter:

Kommentare

7 Antworten zu „DNSSEC für alle – jetzt bei Novatrend!“

  1. Avatar von Michael Schmid

    Vielen Dank für diese wichtige Info und Dienstleistung. Was ich nicht verstanden habe: Muss ich das jetzt bei jeder unserer bestehenden Websites bei Novatrend manuell machen oder macht Novatrend das in nächster Zeit bei allen Webhostings?

    1. Avatar von hagengraf

      Hallo Michael, danke für den Hinweis. Wir wollen es bis “Sommer 2021” automatisch für alle Domains machen. Wer will, kann das jetzt schon einrichten, so wie oben beschrieben.
      Viele Grüße
      Hagen

      1. Avatar von Space Boy
        Space Boy

        Great news. I think that we can wait a couple of months so that it is done automatically. The summer in Switzerland is long so it will give you more time 🙂

        Next job: enable 2FA for cPanel. Pleeeezzzz…

  2. Avatar von nic
    nic

    Wird DNSSEC in Zukunft auch für andere Domänen als “.ch” funktionieren?

  3. […] In diesem Fall wird der Domain-Name automatisch mit den Features deines Webhosting verknüpft und du kannst dein Webhosting über deinen Domain-Namen aufrufen, kostenlose Zertifikate ausstellen, E-Mail-Adressen mit diesem Domain-Namen anlegen und vieles andere mehr. Seit kurzem bieten wir auch kostenlos die Sicherheits-Erweiterung DNSSEC an (siehe Blogpost vom 15. März 2021 – DNSSEC für alle – jetzt bei Novatrend!). […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert