Logo von Netze

Suche
Daniel AJ Sokolov 4

Signiert: .at-Domains jetzt mit DNSSEC

Die österreichische Domainvergabestelle nic.at unterstützt seit Mittwoch die Erweiterung DNSSEC (Domain Name System Security Extensions). Damit können hauptsächlich Provider, die DNS-Dienste für ihre Nutzer anbieten, bei der Auflösung eines Domainnamens in die zugeordnete(n) IP-Adresse(n) feststellen, ob die Information unterwegs verfälscht wurde. Dazu lässt sich beispielsweise der DNS-Server BIND verwenden. So wird es Angreifern erschwert, DNS-Daten zu fälschen und Nutzer auf unlautere Server umzuleiten. Bisher sind die DNSSEC-Funktionen freilich nicht in den Betriebssystemen verankert; gängige Resolver prüfen die empfangenen DNS-Antworten nicht. Erfahrene Nutzer können dafür auf ihren PCs ebenfalls BIND einrichten, für das schnelle Ausprobieren der Funktion kann man das Plugin DNSSEC Validator auf dem Firefox-Browser einrichten.

Nic.at stellt die Signatur für die gesamte .at-Zone. Die jeweilige Domain muss zusätzlich vom Betreiber des Domain Name Servers (DNS) signiert und bei nic.at entsprechend registriert werden, damit DNSSEC wirkt. Eine Handvoll .at-Registrare bieten dies bereits an, darunter WORLD4YOU. Am Mittwoch um 11.35 Uhr hat dieser Linzer Registrar die erste österreichische Kunden-Domain signiert.

"Die DNSSEC-Signierung von Domains ist sicherlich nicht für alle Domain-Inhaber gleichermaßen relevant", sagte nic.at-Geschäftsführer Robert Schischka, "aber vor allem für hochsensible Branchen wie Banken, Versicherungen oder auch Betreiber von Webshops bietet DNSSEC eine zusätzliche Schutzmöglichkeit und bewahrt Kunden auf einer zusätzlichen Ebene vor Missbrauch im Internet." Zuvor hatten Registrare ihre Systeme und Abläufe testen können. Inhaber von .at-Domains sind nicht verpflichtet, DNSSEC zu aktivieren.

Die deutsche Vergabestelle DENIC hat DNSSEC im Juni eingeführt, auch bei den Kollegen von Switch (.ch, .li) ist die Sicherheitsmaßnahme bereits in Betrieb. Wie die DNS-Auskunf kryptografisch abgesichert wird, beschreibt dieser heise-netze-Beitrag ausführlich. (jo)

4 Kommentare

Themen:

Anzeige
  1. DNSSEC-Day am 30. Juni: Start der Diskussion und Agenda

    Sicherheitsschloss

    Unerwartet viele Anwender nutzen bereits DNSSEC-validierende Resolver. Das ist eines der Resümees, das man aus der begonnenen Diskussion rund um DNS-Sicherheit anlässlich des kommenden DNSSEC-Day ziehen kann.

  2. Am 30. Juni ist DNSSEC-Day

    Am 30. Juni ist DNSSEC-Day

    Am 30. Juni 2015 veranstalten das BSI, DENIC und heise online den DNSSEC-Day. Kern der Veranstaltung ist ein Livestreaming, bei dem Fachleute Nutzen und Anwendungsmöglichkeiten für Nutzer und Administratoren behandeln.

  3. DNSSEC-Day: Kleine Nachlese

    Hand hält Globus

    Das BSI, DENIC und heise online haben am 30. Juni im Rahmen des DNSSEC-Days die Vorteile der Technik vorgestellt und kritische Fragen diskutiert. Für manche unerwartet müssen neue Registrare Kunden künftig DNSSEC anbieten.

  4. Videostream zum DNSSEC-Day

    Sicherheitsschloss

    Die Sicherheitstechnik DNSSEC, die Manipulationen an DNS-Auskünften verhindern kann, ist in Deutschland noch wenig verbreitet. Das BSI, DENIC und heise online stellen die Vorteile der Technik vor und diskutieren kritische Fragen.

  1. Am 30. Juni ist DNSSEC-Day

    Am 30. Juni 2015 veranstalten das BSI, DENIC und heise online den DNSSEC-Day. Kern der Veranstaltung ist ein Livestreaming, bei dem Fachleute Nutzen und Anwendungsmöglichkeiten für Nutzer und Administratoren behandeln.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. DNSSEC: Lügendetektor fürs LAN

    Ob PC, Tablet oder Smartphone, kein Netzwerk-Client prüft, ob DNS-Antworten unverfälscht und vertrauenswürdig sind. So können Hacker arglose Nutzer über eingeschleuste DNS-Antworten auf ihre eigenen Websites umleiten, um etwa Passwörter auszuspähen. Dagegen hilft ein Resolver im LAN, der DNS-Antworten mit DNSSEC validiert.

  1. US-Gesetzesentwurf für Krypto-Hintertüren findet wenig Unterstützung

    US-Gesetzesentwurf für Krypto-Hintertüren findet wenig Unterstützung

    Der "Compliance with Court Orders Act of 2016", eine Folge des Streits wischen Apple und dem FBI um ein verschlüsseltes iPhone im Fall des Anschlags von San Bernadino im Dezember 2015, scheint weitgehend vom Tisch zu sein.

  2. c't uplink 12.0: Chatbots / Powerbanks / Helium-Festplatten

    c't uplink 12.0: Chatbots / Powerbanks / Helium-Festplatten

    Neue Sendung, neuer Moderator: Weil die c't-uplink-Gang nachsitzen muss, regelt Volker Zota dieses Mal die Sendung, um der es um automatische Chats, Strom für unterwegs und Riesenfestplatten geht.

  3. Unterwegs im DS E-Tense: Morgengöttin

    Citroen, Elektroautos, alternative Antriebe

    Manchmal öffnet sich ein Fenster in die Zukunft. Eins, das den Blick freigibt auf eine kommende und gute Zeit: DS, die dritte Marke des französischen PSA-Konzerns, hat im Rahmen der Formel E in Berlin die Studie E-Tense gezeigt

  4. Die Maker Faire Hannover 2016 hat eröffnet

    Die Maker Faire Hannover 2016 ist eröffnet

    Vorab-Premiere für den Bastler-Nachwuchs: Das Kreativ- und Technikfestival öffnete in diesem Jahr bereits am Freitag – exklusiv für Schulklassen. Ab Samstag sind dann alle willkommen, die sich für den kreativen Umgang mit Technik begeistern.

Anzeige