Wer über keinen Linux-Host verfügt, der kann mittels eines in einer WebSite integrierten Tests prüfen, ob der eigene Access-Provider die DNS-Abfragen auf DNSSEC überprüft. Der entsprechende Test findet sich hier: https://dnssec.vs.uni-due.de/
Welchen Nutzen hat DNSSEC?
Zu Beginn dieses Beitrages haben wir die Antwort bereits angedeutet, aber etwas zu kurz gegriffen. Deshalb hier eine etwas ausführlichere Erklärung am Beispiel „bb-one.net“. Wenn Sie auf Ihrem PC einen Host mit der Browsereingabe „bb-one.net“ suchen, dann wird der PC sein lokales Gateway, also den DSL-Router o.ä, danach fragen. Der kennt die Antwort meist nicht, wird also den konfigurierten Resolver, sprich den auflösenden DNS-Server des Access Providers wie z.B. DTAG oder Vodafone Kabel Deutschland fragen. Hat dieser die Antwort nicht (mehr) auf Lager, wird er einen übergeordneten Resolver den für den gesuchten Host zuständigen (autoritativen) Nameserver fragen.
Phishing & Co. gezielt unterbinden
Auf diesem Weg gibt es mehrere Möglichkeiten der gewollten bösartigen Verfälschung. Der bekannteste Angriffsvektor führt über sogenanntes „Cache Poisoning“ dazu, dass beispielsweise statt der erwarteten WebSite eine entsprechend präparierte Seite angezeigt wird, die Zugangsdaten zum Kunden oder im schlimmsten Fall zum Bankkonto abgreift. Dieser Angriff ist auch als Phishing bekannt und erfolgt durch die Benutzung von bewusst verfälschten DNS-Informationen.
Die verfälschten DNS-Information können an verschiedenen Stellen eingeschleust werden, sowohl im lokalen Netzwerk als auch auf den Resolvern im Internet. DNSSEC kann derartige Angriffe verhindern, denn es stellt sicher, dass die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten gewährleistet ist. Der Erfolg setzt allerdings voraus, dass sich die für die Domain verantwortlichen Personen auch wirklich um die Korrektheit und Aktualität der DNS-Einträge kümmern. Schließlich kann DNSSEC falsche Daten im autoritativen Nameserver zwar nicht erkennen, aber es sorgt sehr nachhaltig dafür, dass die Informationen auf dem gesamten Weg zwischen Fragestellung und Antwort nicht verfälscht werden.
Der Nutzen für den Website-Besucher
Der Website-Besucher, im besten Fall Ihr Kunde, kann sich darauf verlassen, dass er mit einer WebSite interagiert, deren Betreiber er überprüfen kann. Im Falle der offiziellen WebSite seiner Hausbank kann er von deren Authentizität ausgehen. Er wird nicht auf einer „nachgemachten“ Seite landen.
Der Nutzen für Domaininhaber und Website-Betreiber
Sie als Betreiber und Inhaber der Domains und Webseiten profitierén von einer erhöhten Reputation beim Kunden. Denn eine nachprüfbare Webadresse ist für die Kunden gleichzeitig transparent und unterstützt das Vertrauen. Deshalb sollten Sie in Ihrer Rolle als Verantwortlicher die Verwendung von DNSSEC unbedingt in Erwägung ziehen und dann diesen Vorteil auch in der Kundenkommunikation nutzen. Spätestens wenn Sie einen Online-Shop betreiben und beispielsweise auch DNSSEC-Prüfungsmöglichkeiten auf Ihren WebSite anbieten, haben Sie gegenüber dem Wettbewerb noch bessere Karten.
Weiterführende Informationen
Einen sehr schönen Artikel hat die DENIC unter der Rubrik „Wissen“ zu der ganzen Thematik veröffentlicht: https://www.denic.de/wissen/dnssec/. Aber auch der eBusiness Lotse Berlin wird demnächst Webinare zu diesem Thema anbieten. Selbstverständlich werden wir Sie darüber auf dem laufenden halten.