Diese Story ist aus der Kategorie Dienstleistungen und dem Dossier Sicherheit und Stabilität

DNSSEC-Zeremonie: Ein Akt für mehr Sicherheit

Kürzlich erstellten eine Handvoll SWITCH-Fachpersonen und ein Vertreter des Bundesamtes für Kommunikation (BAKOM) neue DNSSEC-Signaturschlüssel. Diese jährlich stattfindende Key-Zeremonie ist ein wichtiges Element für mehr Internetsicherheit in der Schweiz. Erfahren Sie weshalb.

Text: Séverine Jagmetti, publiziert am 27.11.2017

Die so genannte Key-Zeremonie ist nicht zu verwechseln mit einem pompösen, feierlichen Anlass. Es handelt sich vielmehr um eine nüchterne Zusammenkunft von SWITCH-Mitarbeitenden und einem Vertreter des BAKOM. Das Ziel dieses jährlich stattfindenden Treffens ist das Generieren von neuen DNSSEC-Signaturschlüssel für .ch und .li.

Der so genannte Key-Signing-Key (KSK) wird offline auf einem Key-Management-Host (KMH) verwaltet. Für den Betrieb des DNS werden ebenfalls offline Zone-Signing-Keys (ZSK) erstellt, die für eine bestimmte Zeitperiode mit dem KSK signiert sind. Das bedeutet, dass die ZSK auf dem Online-System nur zeitlich befristet gültig sind. So wird das Risiko einer Schlüsselkomprimittierung massgeblich reduziert. SWITCH wechselt den KSK jährlich und einen ZSK monatlich. Alle Schlüssel werden anlässlich der Key-Zeremonie für das folgende Jahr erstellt.

Daten sicher im DNS publizieren

DNSSEC ist als Erweiterung des DNS-Systems zu verstehen und macht das Internet – wie die Abkürzung "SEC" suggeriert – sicherer. Nötig ist DNSSEC, weil das DNS-Protokoll ursprünglich ohne Sicherheit entwickelt wurde und dadurch manipulierbar ist. DNSSEC gewährleistet die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten. Mittels kryptografischer Unterschriften ist garantiert, dass DNS-Antworten nicht unerkannt manipuliert und Daten somit sicher im DNS publiziert werden können.

Praktisch jede Transaktion im Internet beginnt mit einer DNS Anfrage, sei es eine Website öffnen, eine E-Mail versenden, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen unerwünschten Server umgeleitet werden. Die Technologie bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authority) verschlüsselt an den korrekten Zielserver zugestellt werden. In Zusammenarbeit mit Technologien wie Transport Layer Security (TLS) werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die DNSSEC-Technologie bietet SWITCH in ihrer Funktion als Registrierungsstelle seit 2010 an. Aktuell sind knapp zwei Prozent aller .ch Domain-Namen DNSSEC siginiert. SWITCH ist bestrebt, möglichst viele Internetnutzer von den Vorteilen von DNSSEC zu überzeugen und sie dazu zu bewegen, ihre Sicherheit im Internet durch die Verwendung von DNSSEC zu erhöhen. Um dies zu erreichen, steht die Stiftung im aktiven Austausch mit den Registraren, den DNS-Hostern und den Internet Service Providern. Gemeinsam wird nach Möglichkeiten gesucht, um die Verbreitung dieser Technologie zu fördern.

SWITCH-CERT an allen Fronten  

Um die Sicherheit von .ch optimal gewährleisten zu können, ist der professionelle Betrieb des DNS inklusive der Förderung von DNSSEC essentiell. Das SWITCH-CERT, bestehend aus 15 Sicherheitsexperten mit unterschiedlichen Kompetenzen, bietet aber noch viel mehr für die Internetsicherheit: Es kämpft etwa gegen MalwarePhishing und Wirtschaftskriminalität im Internet. Alle Anstrengungen dienen dem Ziel, .ch weiterhin zu den sichersten Top Level Domains (TLD) Europas zählen zu können.

Was muss ich tun, um DNSSEC zu nutzen?

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, können Sie einen Registrar/Hoster wählen, der Ihren Domain-Namen mit DNSSEC signiert. Manche .ch-Registrare ermöglichen dies mit nur einem Klick.

Weitere Informationen

Weitere Beiträge