Logo von Netze

Suche
Daniel AJ Sokolov 4

Signiert: .at-Domains jetzt mit DNSSEC

Die österreichische Domainvergabestelle nic.at unterstützt seit Mittwoch die Erweiterung DNSSEC (Domain Name System Security Extensions). Damit können hauptsächlich Provider, die DNS-Dienste für ihre Nutzer anbieten, bei der Auflösung eines Domainnamens in die zugeordnete(n) IP-Adresse(n) feststellen, ob die Information unterwegs verfälscht wurde. Dazu lässt sich beispielsweise der DNS-Server BIND verwenden. So wird es Angreifern erschwert, DNS-Daten zu fälschen und Nutzer auf unlautere Server umzuleiten. Bisher sind die DNSSEC-Funktionen freilich nicht in den Betriebssystemen verankert; gängige Resolver prüfen die empfangenen DNS-Antworten nicht. Erfahrene Nutzer können dafür auf ihren PCs ebenfalls BIND einrichten, für das schnelle Ausprobieren der Funktion kann man das Plugin DNSSEC Validator auf dem Firefox-Browser einrichten.

Anzeige

Nic.at stellt die Signatur für die gesamte .at-Zone. Die jeweilige Domain muss zusätzlich vom Betreiber des Domain Name Servers (DNS) signiert und bei nic.at entsprechend registriert werden, damit DNSSEC wirkt. Eine Handvoll .at-Registrare bieten dies bereits an, darunter WORLD4YOU. Am Mittwoch um 11.35 Uhr hat dieser Linzer Registrar die erste österreichische Kunden-Domain signiert.

"Die DNSSEC-Signierung von Domains ist sicherlich nicht für alle Domain-Inhaber gleichermaßen relevant", sagte nic.at-Geschäftsführer Robert Schischka, "aber vor allem für hochsensible Branchen wie Banken, Versicherungen oder auch Betreiber von Webshops bietet DNSSEC eine zusätzliche Schutzmöglichkeit und bewahrt Kunden auf einer zusätzlichen Ebene vor Missbrauch im Internet." Zuvor hatten Registrare ihre Systeme und Abläufe testen können. Inhaber von .at-Domains sind nicht verpflichtet, DNSSEC zu aktivieren.

Die deutsche Vergabestelle DENIC hat DNSSEC im Juni eingeführt, auch bei den Kollegen von Switch (.ch, .li) ist die Sicherheitsmaßnahme bereits in Betrieb. Wie die DNS-Auskunf kryptografisch abgesichert wird, beschreibt dieser heise-netze-Beitrag ausführlich. (jo)

4 Kommentare

Themen:

Anzeige
  1. DNSSEC-Schlüsseltausch 2017 – die Vorbereitungen laufen

    Schlüssel, Sicherheit, DNS, DNSSEC

    Wer am 11. Oktober 2017 meint, dass sein Internet kaputt ist, der sollte bei seinem Provider nachfragen, ob das mit dem DNSSEC-Schlüsseltausch zu tun hat. Bis dahin ist es zwar noch ein wenig hin, doch die Vorbereitungen laufen auf Hochtouren.

  2. Wenn das mal gut geht: Schlüsseltausch in der Rootzone könnte heikel werden

    Wenn das mal gut geht: Schlüsseltausch in der Rootzone könnte heikel werden

    Am Nutzen der kryptografischen Absicherung des weltweiten Domain Name System gibt es einige Jahre nach deren Einführung kaum noch Zweifel. Die Fortführung könnte freilich holperig werden, weil in der Spezifikation schwerwiegende Lücken klaffen.

  3. Mit r.at und t.at: Österreich bringt Kurzdomains

    Mit r.at und t.at: Österreich bringt Kurzdomains

    Die österreichische Registry nic.at hat ihren Zeitplan für die Einführung ein- und zweibuchstabiger Internet-Domainnamen unter der Top-Level-Domain .at vorgestellt.

  4. Boom bei deutschen Bot-Netz- und Phishing-Domains

    .de .at

    Bei Kriminellen werden .de- und .at-Domains immer beliebter, weil die fast nicht tot zu kriegen sind, beschweren sich die Anti-Malware-Aktivisten von Spamhaus. Das CERT-Bund springt ihnen zur Seite -- doch Denic und Nic.at halten gegen.

  1. Am 30. Juni ist DNSSEC-Day

    Am 30. Juni 2015 veranstalten das BSI, DENIC und heise online den DNSSEC-Day. Kern der Veranstaltung ist ein Livestreaming, bei dem Fachleute Nutzen und Anwendungsmöglichkeiten für Nutzer und Administratoren behandeln.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. DNSSEC: Lügendetektor fürs LAN

    Ob PC, Tablet oder Smartphone, kein Netzwerk-Client prüft, ob DNS-Antworten unverfälscht und vertrauenswürdig sind. So können Hacker arglose Nutzer über eingeschleuste DNS-Antworten auf ihre eigenen Websites umleiten, um etwa Passwörter auszuspähen. Dagegen hilft ein Resolver im LAN, der DNS-Antworten mit DNSSEC validiert.

  1. "Statistisch gesehen": So viel Cash parken Apple & Co. im Ausland

    Statistisch gesehen:

    Steuervermeidungstricks werden von vielen Konzernen angewandt. Einige US-amerikanische Firmen haben aber so viel Vermögen im Ausland geparkt, dass es nicht verwundert, dass Behörden weltweit etwas von den beiseitegeschafften Kuchenstücken abhaben wollen.

  2. Harley-Davidson: Neuer Motor "Milwaukee-Eight"

    Zweirad

    Harley-Davidson bringt eine neue Motorengeneration auf den Markt, den "Milwaukee-Eight". Der kommt mit einer - für Harley-Verhältnisse - revolutionären Technologie: Die Zylinderköpfe verfügen über vier Ventile, zwei Einspritzdüsen und zwei Zündkerzen

  3. Ausfahrt im Mercedes C 43 AMG Coupé

    Mercedes C 43 AMG

    In der Theorie sind C 400 und C 43 AMG nah beieinander, in der Praxis sind die gefühlten Unterschiede größer als gedacht. Das liegt weniger an den Fahrleistungen, bei denen sich beide kaum etwas nehmen, als vielmehr an der Art und Weise, wie sie sich fahren

  4. Blizzard veröffentlicht World of Warcraft: Legion

    Blizzard veröffentlicht World of Warcraft: Legion

    Der Start des sechsten AddOns zum MMORPG World of Warcraft in der vergangenen Nacht verlief reibungslos. Auf den Servern gab es weder Warteschlangen noch spürbare Lags.

Anzeige