comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Vorschlag: DNSSEC einschalten

dg2210
Legende
7.800 Beiträge

am ‎07.02.2018 10:52

am ‎07.02.2018 10:52

Ich wünsche mir, daß der technische Dienstleister der comdirect das DNSSEC-Flag am Nameserver setzt.

 

Hintergrund:

Die Namensauflösung im Internet (d.h. die Umsetzung von "www.comdirect.de" zur Adresse 193.41.133.1) läuft über das DNS-Protokoll, welches zu einer Zeit entwickelt wurde, als niemand daran dachte, daß einmal Geldgeschäfte über dieses Netz abgewickelt werden würden. Demzufolge ist DNS praktisch nicht gegen Manipulation gesichert. Seit etwa 2010 ist die manipulationsichere Variante DNSSEC im Einsatz, bei der die Datenübertragung duch eine Prüfsumme gesichert ist. Dazu muß allerdings der Dienstleister/"Hoster" ein Flag in der DNS-Konfiguration setzten. Bei Domains, die nach 2010 eingerichtet wurden oder bei denen der Dienstleister gewechselt hat, passiert dies i.d.R automatisch, bei Altsystemen muß man das Flag manuell setzen.

 

Beispiel:
Verwendung von dig, einem Netzwerk-Diagnosetool, das Wesentliche ist rot hervorgehoben

 

 

> dig www.postbank.de

; <<>> DiG 9.9.9-P1 <<>> www.postbank.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52075
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.postbank.de.               IN      A

;; ANSWER SECTION:
www.postbank.de.        300     IN      A       160.83.8.1

das Flag ad (authenticated data) zeigt an, daß DNSSEC benutzt wird.

 

Gleiches gilt für consors:

> dig www.consorsbank.de

; <<>> DiG 9.9.9-P1 <<>> www.consorsbank.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35836
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.consorsbank.de.            IN      A

;; ANSWER SECTION:
www.consorsbank.de.     300     IN      A       194.150.80.87

Aber nicht für die comdirect

> dig www.comdirect.de

; <<>> DiG 9.9.9-P1 <<>> www.comdirect.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.comdirect.de.              IN      A

;; ANSWER SECTION:
www.comdirect.de.       300     IN      A       193.41.133.1

 

Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
4 ANTWORTEN

TutsichGut
Mentor ★★★
2.375 Beiträge

am ‎07.02.2018 11:21

am ‎07.02.2018 11:21

Ich stimme @dg2210 zu, sicher ist sicher Verlegener Smiley

 

LG TutsichGut
DiskLeimEimer:Ich bin nicht dafür verantwortlich für Das, was mein Bauch von sich gibt.
0 Danke

kammann
Experte ★★
321 Beiträge

am ‎07.02.2018 11:41

am ‎07.02.2018 11:41

Kann ich auch nur unterstützen. Der von comdirect genutzte DNS-Service von Brandshelter untersützt DNSSEC, man müsste es dort nur aktivieren...

Leider validiert auch das aktuelle WIndows 10 DNSSEC nicht automatisch, d.h. eine Verfälschung der Einträge würde nicht erkannt.

Momentan ist das also ein Henne-Ei Problem. Nur wenige Webseiten haben DNSSEC aktiv (z.B. gmx.de/web.de) und noch weniger Endnutzer haben eine DNSSEC fähigen DNS-Resolver.

 

dg2210
Legende
7.800 Beiträge
Als Antwort auf kammann

am ‎07.02.2018 12:21

am ‎07.02.2018 12:21

@kammannschrieb:

Momentan ist das also ein Henne-Ei Problem. Nur wenige Webseiten haben DNSSEC aktiv (z.B. gmx.de/web.de) und noch weniger Endnutzer haben eine DNSSEC fähigen DNS-Resolver.

 

Das ist (leider) zutreffend. Ich (d.h. mein privater PC)  validiere auch erst seit einigen Monaten Smiley (traurig)...Es bleibt die Hoffnung, dass die wenigen Nutzer, die DNS lokal validieren als "Kanarienvogel" agieren und - sonst unentdeck bleibende- Störungen  an die comdirect melden.

Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
0 Danke

SMT_Philipp
ehemaliger Mitarbeiter
1.562 Beiträge
Als Antwort auf kammann

am ‎07.02.2018 16:19

am ‎07.02.2018 16:19

Hallo @dg2210 und @kamman,

 

danke für euren Input.

Eine Umsetzung wäre nicht so einfach, da das Ganze schon etwas komplexer ist als einfach nur ein AD-Flag mitzusenden. Aber unsere IT-Kollegen haben das Thema selbstverständlich auf dem Schirm. 🙂

 

Viele Grüße

Philipp

 

 


In der Kürze liegt die Wü
0 Danke