Das ist jetzt wieder so ein abstraktes, aber wirklich wichtiges Thema, also haltet bitte durch :).
Es geht prinzipiell um das „sichere“ Aufrufen von Websites im Browser, das Abrufen von E-Mails und alle Aktionen, die mit einem Domainnamen zu tun hat. Normalerweise tippst du beispielsweise example.com im Browser ein und dein Browser verzweigt auf die entsprechende Website. Das funktioniert gut, geht blitzschnell und man macht sich keine Gedanken darüber.
Das Domain Name System (DNS) stellt diesen Bezug zwischen dem lesbaren Domainnamen (seafolly.ch) und einer IP-Adresse (194.150.248.139) her. Die Informationen dazu (Resource Records) stehen in der Zonendatei der Domain. Diese Datei liegt auf einem Nameserver und dieser Nameserver sendet die Information zum Client (Browser). Der Client steuert dann die richtige IP-Adresse an.
Stelle dir mal vor, jemand spielt dir nur vor, example.com zu sein.
Bei example.com ist das vielleicht noch nicht schlimm, aber bei „meine-bank.ch“ oder „mein-emailkonto.ch“ würde man schon gern mit der echten Bank und dem echten E-Mail Provider verbunden werden. Das so eine Fälschung überhaupt möglich ist, rührt daher, dass das DNS-Protokoll eine Prüfung der Identität des Absenders nicht vorsieht und diese Absender – Identität relativ einfach gefälscht werden kann. Dem Empfänger wird in so einem Fall eine andere IP-Adresse übermittelt und der Browser verzeigt dorthin. Der Browser erkennt überhaupt keinen Grund/Befehl an der übermittelten IP-Adresse zu zweifeln.
Das Problem ist seit längerer Zeit bekannt und so kam es bereits im Jahr 1997 zu einer ersten Definition der Domain Name System Security Extensions (DNSSEC). Diese Erweiterungen erlauben die kryptografische Signierung des Administrators einer Domain bei seinem Nameserver. In der Zonendatei der Domain werden Schlüssel hinterlegt, die der Empfänger überprüfen kann. Das geschieht automatisch durch den Browser und man merkt nur etwas davon, wenn die Überprüfung fehlschlägt. In diesem Fall meldet der Browser die Website als nicht erreichbar. Mit diesem Verhalten ist zu 100% gewährleistet, dass man nicht bei der „falschen“ Bank landet und das ist gut!
DNSSEC (Domain Name System Security Extensions) ist eine Sicherheits-Erweiterung für das Domain Name System und garantiert die Echtheit (Authentizität) und Vollständigkeit (Integrität) von DNS-Antworten.
Aus der Sicht des Datenschutzes ändert sich zunächst nichts. Die DNSSEC Daten werden ebenfalls im Klartext übermittelt. Unterbunden wird „nur“ das „Unterjubeln“ einer falschen IP-Adresse. Unter dem Begriff „Unterjubeln“ verstehe ich Cache Poisoning und DNS-Spoofing.
Auch heute noch werden in der Schweiz nur etwa 6% der Domains über DNSSEC gesichert. Das entspricht etwa 140,000 Domainnamen.
Hier bei Novatrend kannst du nun seit dem 5. März 2021 deine Domains mit einem kryptografischen Schlüssel signieren! In Zukunft werden die Domains, die bei Novatrend registriert sind, atomatisch signiert.
Das ist jetzt mal einfach so getweetet aber glaubt uns bitte: Das war richtig Arbeit und wir sind sehr glücklich darüber :).
DNSSEC für Domains konfigurieren.
Ob bei einer Domain DNSSEC aktiviert ist, kannst du beispielsweise hier https://dnssec-analyzer.verisignlabs.com/ überprüfen. Im Screenshot das Beispiel seafolly.ch nach erfolgreicher Aktivierung.
Schlüssel erstellen
Im Kontrollzentrum cPanel findest du den Zoneneditor für deine Domains im Bereich Domänen. Im Zoneneditor kannst du alle Einstellungen für deine Domain vornehmen.
Klicke auf den Button DNSSEC um die Schlüsselkonfiguration vorzunehmen.
Wenn du schon einen Schlüssel für deine Domain hast, so kannst du ihn hier importieren. Das kann der Fall sein, wenn die Domain bereits DNSSEC gesichert war und du zu uns umgezogen bist. Wenn du keinen Schlüssel hast, klicke auf den SCHLÜSSEL ERSTELLEN Button.
Die Standard-Einstellungen sehen einen Schlüsselsatz vor, der von den meisten Domain-Registraren akzeptiert wird. Dabei unterscheidet man die Nummer des Algorithmus. Je höher diese Nummer ist, desto komplexer ist der Schlüssel. Inwieweit es die Sicherheit erhöht kommt auf den konkreten Fall an. Kleinere Schlüssel sind ähnlich sicher aber erheblich effizienter als längere Schlüssel, da sie weniger Rechenleistung benötigen. Hier ein Linktip zum Thema, der ein wenig ausführlicher auf die Vor- und Nachteile eingeht: https://crypto.stackexchange.com/questions/1190/why-is-elliptic-curve-cryptography-not-widely-used-compared-to-rsa
Standard und überall akzeptiert ist momentan Nummer der Algorithmus Nr. 8, von cPanel empfohlen wird die Nummer 13. Daher kannst du jetzt entweder auf ERSTELLEN klicken, wenn du mit der Nummer 8 zufrieden bist, oder auf ANPASSEN, wenn du den anderen Algorithmus benutzen willst.
In der anpassbaren Übersicht kannst du den entsprechenden Algorithmus wählen.
Nach der Auswahl kannst du die Schlüssel erstellen. Die Details werden dir angezeigt. Im Screenshot habe ich die Schlüssel ausgeblendet. Wichtig sind die jeweiligen Algorithmus-Nummern.
Je nachdem, wo du deine Domain registriert hast, musst du bei deinem Domain-Provider die gerade erstellten Schlüssel eintragen.
Domain bei Novatrend
Am einfachsten ist es, wenn deine Domain bei uns registriert ist. Wechsle einfach in die Domainverwaltung, wähle die entsprechende Domain aus und klicke im unteren Bereich den Button DNSSEC verwalten.
Es öffnet sich ein Formular in dem du vier Werte eingeben musst.
- den Key Tag (Schlüssel-Tag)
- den verwendeten Algorithmus (Alg)
- den Digest Type
- den Hash-Wert
Übertrage einfach die Werte aus dem cPanel. Am Einfachsten ist es, zu diesem Zweck zwei Fenster auf dem Bildschirm zu öffnen, siehe Screenshot.
Domain bei einem anderen Provider (Beispiel Amenic.ch)
Im meinem Fall (seafolly.ch) ist die Domain bei amenic.ch registriert. DNSSEC muss hier einfach per Button-Klick aktiviert werden.
Nachdem DNSSEC aktiviert wurde, können das Schlüssel-Tag (Key Tag, der Algorithmus (Alg), der Digest Typ und der Hash eingetragen werden.
Man muss nun etwas warten, bis die Änderungen aktiv werden. Bei mir hat es ein paar Minuten gebraucht, bis alle Änderungen an die CH-Zone übermittelt wurden.
Jetzt ist die Domain per DNSSEC gesichert und Besucher landen auch wirklich auf deiner Website.
Tip: cPanel bietet zu diesem Thema auch ein Englischsprachiges Video an.
Fazit
Mit der Verwendung von DNSSEC tust du dir und den Besuchern deiner Website einen grossen Gefallen. Sie können sicher sein, dass sie, wenn sie deinen Domain-Namen eingeben, auf deiner Website landen.
Links
- Domain Name System absichern mit DNSSEC – 10 Jahre alter, ausführlicher Artikel zu DNSSEC mit vielen Hintergründen https://www.heise.de/ct/artikel/Domain-Name-System-absichern-mit-DNSSEC-903318.html
- DNSSEC Test https://dnssec-analyzer.verisignlabs.com/
tl;dr: Mit DNSSEC gesicherte Domains sorgen für mehr Sicherheit im World Wide Web.
Schreibe einen Kommentar