Thema "Re: Betreff: Vorschlag: DNSSEC einschalten" in Website & Apps

Vorschlag: DNSSEC einschalten

dg2210 — Wed, 07 Feb 2018 09:52:47 GMT

Ich wünsche mir, daß der technische Dienstleister der comdirect das DNSSEC-Flag am Nameserver setzt.

Hintergrund:

Die Namensauflösung im Internet (d.h. die Umsetzung von "www.comdirect.de" zur Adresse 193.41.133.1) läuft über das DNS-Protokoll, welches zu einer Zeit entwickelt wurde, als niemand daran dachte, daß einmal Geldgeschäfte über dieses Netz abgewickelt werden würden. Demzufolge ist DNS praktisch nicht gegen Manipulation gesichert. Seit etwa 2010 ist die manipulationsichere Variante DNSSEC im Einsatz, bei der die Datenübertragung duch eine Prüfsumme gesichert ist. Dazu muß allerdings der Dienstleister/"Hoster" ein Flag in der DNS-Konfiguration setzten. Bei Domains, die nach 2010 eingerichtet wurden oder bei denen der Dienstleister gewechselt hat, passiert dies i.d.R automatisch, bei Altsystemen muß man das Flag manuell setzen.

Beispiel:
Verwendung von dig, einem Netzwerk-Diagnosetool, das Wesentliche ist rot hervorgehoben

> dig www.postbank.de

; <<>> DiG 9.9.9-P1 <<>> www.postbank.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52075
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.postbank.de.               IN      A

;; ANSWER SECTION:
www.postbank.de.        300     IN      A       160.83.8.1

das Flag ad (authenticated data) zeigt an, daß DNSSEC benutzt wird.

Gleiches gilt für consors:

> dig www.consorsbank.de

; <<>> DiG 9.9.9-P1 <<>> www.consorsbank.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35836
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.consorsbank.de.            IN      A

;; ANSWER SECTION:
www.consorsbank.de.     300     IN      A       194.150.80.87

Aber nicht für die comdirect

> dig www.comdirect.de

; <<>> DiG 9.9.9-P1 <<>> www.comdirect.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.comdirect.de.              IN      A

;; ANSWER SECTION:
www.comdirect.de.       300     IN      A       193.41.133.1

Betreff: Vorschlag: DNSSEC einschalten

TutsichGut — Wed, 07 Feb 2018 10:21:11 GMT

Ich stimme @dg2210 zu, sicher ist sicher

Betreff: Vorschlag: DNSSEC einschalten

kammann — Wed, 07 Feb 2018 10:41:40 GMT

Kann ich auch nur unterstützen. Der von comdirect genutzte DNS-Service von Brandshelter untersützt DNSSEC, man müsste es dort nur aktivieren...

Leider validiert auch das aktuelle WIndows 10 DNSSEC nicht automatisch, d.h. eine Verfälschung der Einträge würde nicht erkannt.

Momentan ist das also ein Henne-Ei Problem. Nur wenige Webseiten haben DNSSEC aktiv (z.B. gmx.de/web.de) und noch weniger Endnutzer haben eine DNSSEC fähigen DNS-Resolver.

Betreff: Vorschlag: DNSSEC einschalten

dg2210 — Wed, 07 Feb 2018 11:21:13 GMT

@kammannschrieb:

Momentan ist das also ein Henne-Ei Problem. Nur wenige Webseiten haben DNSSEC aktiv (z.B. gmx.de/web.de) und noch weniger Endnutzer haben eine DNSSEC fähigen DNS-Resolver.

Das ist (leider) zutreffend. Ich (d.h. mein privater PC) validiere auch erst seit einigen Monaten ...Es bleibt die Hoffnung, dass die wenigen Nutzer, die DNS lokal validieren als "Kanarienvogel" agieren und - sonst unentdeck bleibende- Störungen an die comdirect melden.

Re: Betreff: Vorschlag: DNSSEC einschalten

SMT_Philipp — Wed, 07 Feb 2018 15:19:54 GMT

Hallo @dg2210 und @kamman,

danke für euren Input.

Eine Umsetzung wäre nicht so einfach, da das Ganze schon etwas komplexer ist als einfach nur ein AD-Flag mitzusenden. Aber unsere IT-Kollegen haben das Thema selbstverständlich auf dem Schirm. 🙂

Viele Grüße

Philipp