imgSubHeaderWhyVerisignAlt
Innovation und Initiativen

Da das Internet weiterhin expandiert, haben wir uns zum Ziel gesetzt, die Entwicklung und den Fortschritt eines schnelleren, sicheren und zuverlässigeren Internets für alle Benutzer voranzutreiben.

DNSSEC – Übersicht

Warum DNSSEC? Funktionsweise Säulen des Erfolgs Entwicklung

Das Domain Name System (DNS), das Adresssystem für das Internet, ist die wichtigste Komponente der Internet-Infrastruktur. Ohne das DNS würde das Internet nicht funktionieren. Bei seiner Entwicklung wurde Sicherheit jedoch nicht berücksichtigt. Dadurch ist es anfällig für Man-in-the-middle(MITM)-Angriffe und Cache Poisoning. Bei diesen Bedrohungen werden gefälschte Daten verwendet, um Internetverkehr an betrügerische Seiten und unerwünschte Adressen umzuleiten. Mehr Informationen zu DNS und seinen Schwachstellen.

Sobald der ahnungslose Benutzer oder das Gerät die betrügerische Seite erreicht, können Internetkriminelle Kreditkartendaten extrahieren, Benutzerkennwörter stehlen, sich in VoIP-Kommunikationen einschalten, bösartige Software installieren oder Bilder und Text anzeigen, die die legitime Marke diffamieren oder falsche Informationen übermitteln. Angesichts der Tatsache, dass ein einzelner DNS-Namenserver als Resolver (für die Auflösung des Namens in die Adresse) für Tausende Benutzer fungieren kann, sind die potenziellen Folgen eines MITM-Angriffs oder Cache Poisoning fatal.

Domain Name System Security Extensions (DNSSEC) erhöhen die Sicherheit im DNS. DNSSEC ist dafür konzipiert, MITM-Angriffe und Cache Poisoning zu erkennen, indem es die Quelle der DNS-Daten authentifiziert und ihre Integrität verifiziert, während der Benutzer sich im Internet bewegt.

DNSSEC – Vorteile für Endbenutzer

DNSSEC bietet allen Mitgliedern des Internet-Ökosystems neue Möglichkeiten. Die Wirkung auf Endbenutzer ist dabei am direktesten und weitreichendsten.

Vertrauenswürdige Aktivitäten: DNSSEC bietet mehr Sicherheit im DNS und erhöht damit die Vertrauenswürdigkeit zahlreicher Internetaktivitäten wie E-Commerce, Online-Banking, E-Mail, VoIP und Online-Vertrieb von Software. Je weiter sich DNSSEC verbreitet, desto größer sind die Vorteile für die globale Internet-Community.

Kunden- und Markenschutz: DNSSEC vermindert das Risiko für Kunden, unwissentlich Opfer von Internetkriminalität zu werden, wenn sie auf eine Ressource zugreifen möchten. Dies ist von entscheidender Bedeutung für Unternehmen mit einer starken Online-Präsenz, E-Commerce-Transaktionen und hochwertige Marken.

Neue Möglichkeiten für sichere Transaktionen: DNSSEC ermöglicht die Nutzung von DNS für neue Arten sicherer Datentransaktionen (z. B. die Authentifizierung von E-Mail-Absendern) durch das Abwehren von Angriffen, über die Daten in die falschen Hände geraten. DNSSEC ergänzt andere Maßnahmen für die Internetsicherheit, z. B. Secure Sockets Layer(SSL)-Zertifikate und den Schutz vor Distributed Denial of Service(DDoS)-Angriffen, ersetzt diese aber nicht.

Die Internet Engineering Task Force (IETF) arbeitet schon seit über 15 Jahren an einem praktikablen Standard für Domain Name System Security Extensions (DNSSEC). DNSSEC schützt die Internet-Community vor gefälschten DNS-Daten durch den Einsatz öffentlicher Schlüsselkryptografie zum digitalen Signieren der Daten autoritativer Zonen, wenn diese ins System gelangen. Anschließend wird das System als Ziel validiert. Weitere Informationen über öffentliche Schlüsselkryptografie.

Die digitale Signierung garantiert Benutzern, dass die Daten von der angegebenen Quelle stammen und während der Übertragung nicht modifiziert wurden. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Diese Funktionen sind entscheidend, um das Vertrauen ins Internet aufrechtzuerhalten.

Bei DNSSEC hat jede Zone ein öffentliches/privates Schlüsselpaar. Der öffentliche Schlüssel der Zone wird über DNS veröffentlicht, während der private Schlüssel sicher aufbewahrt und idealerweise offline gespeichert wird. Der private Schlüssel einer Zone signiert individuelle DNS-Daten in dieser Zone und erstellt so digitale Signaturen, die auch über DNS veröffentlicht werden.

DNSSEC verwendet ein strenges Vertrauensmodell und diese Kette des Vertrauens verläuft von den übergeordneten bis zu den untergeordneten Zonen. Die Zonen der höheren Ebenen (übergeordnete Zonen) signieren – oder bürgen für – die öffentlichen Schlüssel der Zonen der unteren Ebenen (untergeordnete Zonen). Die autoritativen Namenserver für diese Zonen können von Registraren, ISPs, Webhosting-Unternehmen oder Websitebetreibern (Registranten) selbst verwaltet werden.

Wenn ein Endbenutzer auf eine Website zugreifen will, fordert ein Stub-Resolver innerhalb des Betriebssystems des Benutzers von einem rekursiven Namenserver die IP-Adresse der Website an. Nachdem der Server diesen Eintrag anfordert, fordert er auch den mit der Zone verknüpften DNSSEC-Schlüssel an. Anhand dieses Schlüssels kann der Server verifizieren, dass der IP-Adresseneintrag, den er empfängt, mit dem Eintrag des autoritativen Namenservers identisch ist.

Wenn der rekursive Namenserver bestimmt, dass der Adresseintrag vom autoritativen Namenserver gesendet und bei der Übertragung nicht geändert wurde, löst er den Domainnamen auf und der Benutzer kann auf die Website zugreifen. Dieser Vorgang wird als Validierung bezeichnet. Wenn der Adresseintrag geändert wurde oder nicht von der angegebenen Quelle stammt, verweigert der rekursive Namenserver dem Benutzer den Zugriff auf die betrügerische Adresse. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Als Folge dieses Vorgangs sind DNS-Abfragen und -Antworten vor Man-in-the-middle(MITM)-Angriffen und den Arten von Betrug geschützt, die Internetnutzer zu Phishing- oder Pharming-Seiten umleiten.

Um den weltweiten Erfolg von DNSSEC zu gewährleisten, befürwortet Verisign eine proaktive, aber vorsichtige Herangehensweise, die auf drei wichtigen Prinzipien basiert:

  • DNSSEC ist eine effektive Lösung für bestimmte Arten von Internetbedrohungen, muss aber durch andere Schutzmethoden ergänzt werden.
  • Eine kontrollierte, methodische Einführung von DNSSEC ist empfehlenswert.
  • Das gesamte Internet-Ökosystem teilt die Verantwortung für DNSSEC.

Eine effektive Lösung für bestimmte Bedrohungen

DNSSEC erhöht zwar die DNS-Sicherheit, ist aber nur eine Komponente einer vielschichtigen Herangehensweise für eine sichere Internet-Infrastruktur. Es schützt Namenserver nicht vor Distributed Denial of Service(DDoS)-Angriffen, gewährleistet keine Vertraulichkeit beim Austausch von Daten, verschlüsselt Website-Daten nicht und verhindert auch nicht Spoofing oder Phishing. Andere Schutzmechanismen wie die Vermeidung von DDoS-Angriffen, Sicherheitsaufklärung, Verschlüsselung und Seitenvalidierung über Secure Sockets Layer (SSL) sowie Two-factor Authentication sind ebenfalls entscheidend für die Sicherheit im Internet. Diese Mechanismen sollten gemeinsam mit DNSSEC verwendet werden.

Vorsichtige, kontrollierte Einführung

Die weitreichende Implementierung von DNSSEC bringt eine Reihe komplexer Veränderungen mit sich, die das gesamte Internet-Ökosystem betreffen und umfangreiche Ressourcen, Dokumentation, Tests und Koordination innerhalb der Branche erfordern. Jede DNSSEC-Implementierung muss in Phasen vor sich gehen, insbesondere um den zuverlässigen Betrieb von Top-Level-Domains (TLDs) von globaler Bedeutung wie .com und .net zu gewährleisten. Langfristige Strategien, Planung und Kollaboration – nicht nur innerhalb von und zwischen Organisationen und Branchen, sondern auch auf internationaler Ebene – bilden eine stabile Basis für eine erfolgreiche Implementierung.

Geteilte Verantwortung

Da Cache Poisoning an jedem Ort im Internet stattfinden kann, ist DNSSEC am effektivsten, wenn es universell eingesetzt wird – von der Root-Zone und Top-Level-Domains (TLDs) bis hin zu individuellen Domainnamen. Registrys, Registrare, Registranten, Hosting-Unternehmen, Software-Entwickler, Hardware-Anbieter, Regierung, Unternehmen und Behörden mit Internetpräsenz sowie Internettechnologen und Vereinigungen sind gemeinsam für den Erfolg dieser weitreichenden Initiative verantwortlich.

DNSSEC verbreitet sich immer schneller, da Regierungen, Finanzinstitute, Internet Service Provider (ISPs), Unternehmen und andere Organisationen sich zunehmend über DNS-bezogene Gefahren bewusst werden.

Die Internet-Root-Zone, Top-Level-Domains (TLDs) wie .net, .com, .gov, .org, .museum und .edu sowie einige TLDs mit Länderkennzeichen (Country Code TLDs, ccTLDs) haben die DNSSEC-Implementierung vollständig oder nahezu abgeschlossen. Diese TLDs akzeptieren demnächst Second-Level-Domainnamen mit DNSSEC-Signierung. Einige ISPs haben angekündigt, die Validierung auf den rekursiven Namenservern zu aktivieren, die Benutzeranfragen beantworten, und einige Registrare haben die DNSSEC-Implementierung in ihre Roadmaps integriert. Zudem soll ICANN demnächst Anwendungen für neue TLDs einführen, und es ist davon auszugehen, dass ICANN von erfolgreichen TLD-Antragstellern eine geplante DNSSEC-Implementierung fordert.

Die Entwicklung der DNS-Sicherheit

Verisigns Rolle

Verisign ist seit 2000 an der Entwicklung von DNSSEC beteiligt, und unsere Ingenieure haben eine entscheidende Rolle bei der Ausarbeitung des NSEC3-Protokolls gespielt. Wir werden auch weiterhin mit der technischen Internet-Community zusammenarbeiten, wenn es um den Test, die Implementierung und die weitere Entwicklung von DNSSEC geht. Um sicherzugehen, das wir Best Practices einsetzen, unsere Erfahrungen mit DNSSEC-Implementierungen teilen und eine konsistente Herangehensweise über alle Registrys hinweg unterstützen, sind wir aktives Mitglied der DNSSEC Coalition, einer Branchenorganisation, die sich mit der Implementierung von DNSSEC befasst.

Im Juli 2010 hat Verisign in Zusammenarbeit mit der Internet Assigned Numbers Authority (IANA) und dem US-Handelsministerium die Implementierung von DNSSEC in der Root-Zone (der obersten Ebene der DNS-Hierarchie) abgeschlossen. Ebenfalls im Juli hat Verisign in Zusammenarbeit mit EDUCAUSE und dem US-Handelsministerium .edu aktiviert und arbeitet gerade daran, DNSSEC für .net und .com zu aktivieren. Darüber hinaus wurden einige Top-Level-Domains (TLDs) von anderen Registrys signiert, inklusive .gov, .org und der Country Code TLDs für Brasilien, Bulgarien, Tschechien, Puerto Rico und Schweden.

Unsere Strategie bei der Implementierung von DNSSEC besteht darin, mit den kleineren Zonen zu beginnen und jede Implementierung zu bewerten, bevor wir mit der nächsten Zone fortfahren. Die .com-Zone wird als Letztes signiert. Wir möchten so viel Erfahrung wie möglich sammeln, bevor wir uns der Domain zuwenden, über die ein so großer Teil des internetbasierten internationalen Handels und der weltweiten Online-Kommunikation stattfindet.

Wir arbeiten schnell, aber auch methodisch und vorsichtig, um die von uns verwalteten Zonen zu signieren. Sie, Ihre Kunden, Mitarbeiter und Partner werden das Internet weiterhin so erleben, wie Sie es kennen – aber Sie sind besser geschützt.

Darüber hinaus ergreifen wir zahlreiche Maßnahmen, um Mitglieder des Internet-Ökosystems dabei zu unterstützen, DNSSEC erfolgreich zu nutzen. Diese Schritte beinhalten das Veröffentlichen technischer Ressourcen, die Bereitstellung einer operativen Testumgebung und des DNSSEC Interoperability Labs, die Beteiligung an Industrieforen und die Entwicklung von Tools zur Vereinfachung der DNSSEC-Verwaltung.

Benötigen Sie weitere Informationen?

Rufen Sie uns an unter +496933296571
Senden Sie eine E-Mail oder starten Sie einen Chat mit dem Kundensupport.

Rechtliche Hinweise//Datenschutz//Repository//Kontakt//Feedback//Sitemap


© 2011-2012 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder nicht registrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den Vereinigten Staaten und im Ausland. Alle anderen Marken sind Eigentum ihrer rechtmäßigen Eigentümer.