Der aspectra-Blog seit 2012

DNSSEC - Sicheres Surfen dank sicheren Domainnamen

Die sichere Auflösung von Domainnamen geht nur mit Quellenauthentifizierung. Unsere DNS-Server schützen darum .ch- und .li-Domänen standardmässig durch DNSSEC-Signaturen.

DNS

Das Domain Name System DNS ist einer der wichtigsten Dienste im Internet. Es stellt sicher, dass jeder vollständigen und eindeutigen Adresse einer Internetpräsenz (Fully Qualified Domain Name, FQDN) eine eindeutige IP-Adresse zugeordnet wird (z.B: www.aspectra.ch -> 194.247.8.132).

DNS-Server übernehmen die Aufgabe, die Domain-Namen zu IPs aufzulösen. Ein DNS-Resolver führt dabei die Abfrage eines Namens im hierarchisch aufgebauten Domain Name System durch. Jede Domain hat einen autoriativen DNS-Server, wo alle Records dieser Domain (z.B. Hostnames) und die Zuweisung zu den IP-Adressen hinterlegt sind.

Wenn diese Antworten irgendwie gefälscht werden, könnte das böse Auswirkungen haben: Man wähnt sich auf einer vertrauten Webseite, ist aber in Wirklichkeit ganz woanders gelandet.

DNSSEC

Die Domain Name System Security Extensions (DNSSEC) sollen nun dieses Abfragen wie folgt schützen: 
Ein DNS-Record wird vom DNS-Server nicht nur in Klartext übertragen, sondern auch mit einem privaten Schlüssel signiert. Mit dem zusätzlich mitgelieferten öffentlichen Schlüssel, dem sogenannten Zone Signing Key (ZSK), kann die Signatur vom Resolver überprüft werden.

Das alleine würde jedoch nichts bringen. Ein Fälscher könnte ja auch solche Zone Keys generieren und die Records signieren. Deshalb wird dieser ZSK wiederum durch einen Key Signig Key signiert. Ein Hash davon wird beim Registrar der Domain hinterlegt. Damit kann der Resolver prüfen, ob der ZSK wirklich vom Besitzer dieser Domain stammt. Es existiert hier also eine Hierarchie der Schlüssel (Chain of Trust), analog zur DNS-Hierarchie.

Neue DNS-Infrastruktur bei aspectra

Domains, die bei aspectra gehostet sind, können durch DNSSEC gesichert werden. Dies wird durch die neue DNS-Server-Infrastruktur ermöglicht. Bei dieser werden der autoriative Server und der Resolver auf separaten Systemen betrieben. Alle Server sind einerseits an Ort redundant und zusätzlich georedundant über zwei Rechenzentren verteilt.

Wie wir schützen

Für .ch- und .li-Domänen scannt Switch.ch täglich alle Zonen (gemäss RFC8078 des IETF) und prüft die CDS-Keys. Sind diese drei Tage hintereinander gültig, wird DNSSEC automatisch aktiviert. Alle .ch- und .li-Domains bei aspectra sind bereits durch DNSSEC gesichert. Für alle anderen Top Level Domains muss der Schlüssel bei aspectra beantragt und vom Domain-Besitzer beim Registrar eingetragen werden.