Abo
  • Services:
Anzeige
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile.
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D)

Protokoll: DNSSEC ist gescheitert

DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile.
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D)

PR für ein totes Protokoll: Am heutigen 30. Juni wird der DNSSEC-Day begangen. Dabei ist das Protokoll in seiner heutigen Form nahezu nutzlos - und wird es wohl auch bleiben.
Von Hanno Böck

Das DNSSEC-Protokoll ist ein inzwischen über 20 Jahre alter Ansatz, um die Sicherheit im Domain Name System (DNS) zu verbessern. Doch durchsetzen konnte sich das Protokoll nie, bis heute ist ein praktischer Nutzen nahezu nicht vorhanden. Dafür gibt es eine Reihe von Gründen - und realistischerweise ist kaum damit zu rechnen, dass sich das irgendwann ändert. DNSSEC ist ein veraltetes, gescheitertes Konzept, das man am besten beerdigen sollte.

Anzeige

Doch ungeachtet seiner Erfolglosigkeit hat DNSSEC einige Fans. Praktisch jedes Mal, wenn auf Golem.de oder anderswo ein Artikel über die Probleme mit TLS-Zertifikaten und Zertifizierungsstellen berichtet wird, fordern Kommentatoren, dass man endlich das auf DNSSEC aufbauende DANE einsetzen müsse, um Zertifikate abzusichern. Das BSI, die für .de-Domains zuständige Denic und der Heise-Verlag haben für den heutigen 30. Juni einen DNSSEC-Day ausgerufen, nach ihren Angaben "eine Aktion zur Förderung der Internetsicherheit".

DNSSEC signiert, aber verschlüsselt nicht

Um nachzuvollziehen, warum DNSSEC wenig zur Internetsicherheit beiträgt, sollte man zunächst verstehen, was das Protokoll tut. Es ist ein hierarchisches System, das DNS-Einträge signiert. Ein von der Icann und der Firma Verisign verwalteter Root-Schlüssel signiert die jeweiligen Keys der Verwalter von Top-Level-Domains. Diese wiederum signieren die Schlüssel der darunterliegenden Domains. Dazu kommt noch eine Unterscheidung in Key Signing Keys (KSKs) und Zone Signing Keys (ZSKs), die Letzteren werden häufiger gewechselt.

DNSSEC authentifiziert nur die DNS-Abfragen selbst, die anschließende Verbindung jedoch nicht. Hierfür müssen weiterhin Schutzsysteme wie TLS oder SSH zum Einsatz kommen. Konkret bedeutet das beispielsweise, dass man bei funktionierendem DNSSEC sicher sein kann, dass die Domain denic.de zur IP-Adresse 81.91.170.12 gehört. Das Protokoll kann aber nicht gewährleisten, dass die Verbindungen zur IP 81.91.170.12 auch wirklich von dort kommen.

Ebenfalls keinen Beitrag leistet das Protokoll zur Geheimhaltung des Surfvorgangs. Denn DNSSEC verschlüsselt nicht, es handelt sich um ein reines Signatursystem, ein Angreifer kann nach wie vor alle DNS-Anfragen und Antworten mitlesen. Der Grund für die fehlende Verschlüsselung dürfte im Alter von DNSSEC liegen. In den späten Neunzigern, als DNSSEC standardisiert wurde, war Verschlüsselung noch vergleichsweise problematisch und rechenaufwendig. Der standardisierte Verschlüsselungsalgorithmus DES wurde gerade gebrochen, die verbreitete Alternative Triple-DES galt zwar als sicher, war aber extrem langsam. Der AES-Algorithmus war noch nicht erfunden, und von Verschlüsselungsinstruktionen auf Standard-CPUs, die heute üblich sind, wagte vermutlich noch niemand zu träumen. Heute würde vermutlich niemand mehr auf die Idee kommen, ein "sicheres" Protokoll ohne Verschlüsselung zu entwickeln.

DNSSEC: Viele Parteien müssen mitspielen

Wer DNSSEC ganz praktisch einsetzen möchte, muss einige Hürden überwinden. Zunächst einmal funktioniert DNSSEC nur dann, wenn die entsprechende Top-Level-Domain das überhaupt unterstützt. Inzwischen bieten die meisten Top-Level-Domain-Verwalter DNSSEC an, aber längst nicht alle. Wer sich beispielsweise für eine der neueren Domains wie .tel, .jobs oder .mobi entschieden hat, hat Pech gehabt. Auch eine ganze Reihe von Länderdomains unterstützt das Protokoll nicht. DNSSEC ist somit eines der wenigen Features im Netz, bei denen es von der Top-Level-Domain abhängt, ob man es überhaupt nutzen kann.

Doch selbst wenn man eine Top-Level-Domain hat, die DNSSEC theoretisch unterstützt: Einfach anschalten kann man es trotzdem nicht. Selbst wer seinen eigenen DNS-Server betreibt, benötigt die Unterstützung des jeweiligen Domainhändlers. Der muss mit den jeweiligen Top-Level-Domain-Betreibern ein Verfahren dafür vereinbaren, wie die entsprechenden Keys übermittelt werden.

Wer DNSSEC nutzen möchte, sieht sich also im ungünstigsten Fall damit konfrontiert, dass er zuerst den Domainnamen und anschließend auch den Domainprovider wechseln muss. Das dürfte einer der Hauptgründe dafür sein, dass das Protokoll sich nie durchsetzen konnte. Es ist schlicht zu komplex und involviert zu viele unterschiedliche Parteien. Alleine, um auf Serverseite DNSSEC umzusetzen, müssen der Verwalter der Top-Level-Domain, der Domainhändler und der DNS-Serverbetreiber das Protokoll unterstützen.

Die Komplexität von DNSSEC führt immer wieder zu Schwierigkeiten. Die Liste der Fehlschläge bei DNSSEC ist lang. Selbst die Betreiber von Top-Level-Domains haben immer wieder Schwierigkeiten, es korrekt zu betreiben.

DNSSEC auf Clients praktisch nicht vorhanden 

eye home zur Startseite
Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...



Anzeige

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Nürnberg
  2. BENTELER-Group, Düsseldorf
  3. WALHALLA Fachverlag, Regensburg
  4. ARRK ENGINEERING, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Re: hmmm

    derJimmy | 16:43

  2. Re: Wieviel Energie benötigt es, um von Europa...

    Ovaron | 16:42

  3. Re: Und bei DSL?

    DieDy | 16:35

  4. Re: Wie soll das in der freien Wildbahn...

    lear | 16:29

  5. Re: Geringwertiger Gütertransport

    m9898 | 16:25


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel