DNSSEC + DANE

Sicheres Webhosting

dotplex bietet als einer der ersten Provider überhaupt standardmäßig die Signierung der DNS-Einträge mit DNSSEC sowie die Hinterlegung des SSL-Zertifikats im DNS-Eintrag an (DANE / TLSA).

DNS-Einträge sind unsicher

Wenn Sie eine beliebige Website aufrufen wollen, benötigt Ihr Browser die IP-Adresse des Servers, auf dem die Website gespeichert ist. Diese fragt er bei einem DNS (Domain-Name-System)-Server ab, wie bei einem Telefonbuch. Beispielsweise erhält er auf die Frage nach der IP-Adresse von www.dotplex.de die Antwort 91.102.11.138.

Diese Antwort vom Nameserver ist unverschüsselt und kann auf dem Weg zu Ihrem Computer leicht manipuliert werden, durch Hacker, den Provider oder Geheimdienste. Diesen Angriff nennt man Man-in-the-Middle (MITM). Dann erhält Ihr Browser als Antwort eine ganz andere IP-Adresse, auf der eine manipulierte Version der Website liegt. Es sind aber noch viele weitere Angriffe möglich, z.B. das Mitlesen oder Umleiten von E-Mails. Besonders gefährlich ist, dass Sie von diesem Angriff überhaupt nichts mitbekommen.

Absichern von DNS mit DNSSEC

Um diese MITM-Angriffe zu erschweren, kann der Administrator einer Domain die DNS-Einträge signieren. Damit kann verifiziert werden, dass die Antwort vom Nameserver korrekt ist und auf dem Weg durch das Internet nicht manipuliert wurde. Das funktioniert zuverlässig, seit die Rootzonen (z.B. .de) signiert sind und eine Prüfung der Signaturen über alle autoritativen Nameserver hinweg möglich ist. Weitere Informationen zu: DNSSEC.

Domains bei dotplex sind ohne Aufpreis mit DNSSEC gesichert.

dotplex Secure Hosting mit DNSSEC

SSL-Zertifikate mit DANE prüfen

Für verschlüsselte Verbindungen im Internet wird SSL eingesetzt. Wichtig ist das z.B. für Websites (https://) oder Verbindungen zu Mailservern. Um eine SSL-verschlüsselte Verbindung zu einem Server aufzubauen, benötigt dieser ein SSL-Zertifikat, das von einer sogenannten Certification Authority (CA) (z.B. Verisign, CACert oder StartSSL) ausgestellt wird. Im Browser oder Betriebssystem sind die Root-Zertifikate einer Vielzahl von CAs hinterlegt, denen automatisch vertraut wird. Wenn die CA des Zertifikats nicht bekannt ist, zeigt der Browser die bekannte Fehlermeldung an, dass der Verbindung nicht vertraut wird.

Nun gab es in der Vergangenheit einige Fälle, bei denen CAs gehackt wurden und dort Zertifikate für beliebige Domain-Namen ausgestellt werden konnten. Vermutlich ist das generell auch einigen Behörden und Geheimdiensten möglich. Mit einem solchen gefälschten Zertifikat lassen sich dann Man-in-the-Middle-Angriffe auf verschlüsselte Verbindungen ausführen und die übertragenen Daten auslesen. Dagegen schützte bisher nur, alle CAs aus dem Browser zu löschen und allen Zertifikaten erst nach einer manuellen Prüfung zu vertrauen, was in der Regel nicht praktikabel ist.

Daher gibt es seit seit kurzem den Standard DANE, bei dem der Administrator eines Servers das gültige Zertifikat als TLSA-Record im DNS-Eintrag der Domain hinterlegt. Wenn diese mit DNSSEC gesichert ist, können damit die Gültigkeit eines Zertifikats validiert und MITM-Angriffe erschwert werden.

Websites bei dotplex sind ohne Aufpreis mit SSL und DANE / TLSA gesichert.

dotplex Secure Hosting mit SSL und DANE

DNSSEC und DANE validieren

Mit dem DANE-Validator unter dane.sys4.de können Sie testen, ob eine Domain DNSSEC und DANE (korrekt) implementiert. Und mit diesen Browserplugins können Sie alle aufgerufenen Websites direkt validieren.

Zurück zur FAQ-Übersicht

Wichtiger Hinweis: Die Inhalte auf dieser Seite gelten nur für Ihren dotplex Webhosting-Account bzw. Ihre E-Mail-Adresse auf den dotplex Mailservern. Falls Sie kein Kunde bei dotplex sind, erfragen Sie die benötigten Daten bitte bei Ihrem Provider.