Addon überprüft DNSSec-Status

Addon überprüft DNSSec-Status

Abgesicherter Nameservice

Anika Kehrer, Nils Magnus
11.02.2011
Die holländischen Studenten Danny Groenewegen und Pieter Lange schrieben für ihre Master-Arbeit den "Extended DNSSec Validator", mit dem Firefox-Nutzer der Idee nach die Identität besuchter Webseiten überprüfen.

Das Addon klopft ab, ob eine Webseite DNSSec-gesichert ist, ob also ein Nachweis für die vom Webseitenbetreiber behauptete Zuordnung von Domainnamen und IP-Adresse authentisch ist. Dafür schaut es nach, ob entsprechende Zertifikate vorliegen. Das Ergebnis soll der Firefox in seinem Identity-Icon anzeigen.

Das Addon entstand als Teil eines Forschungsprojekts bei der NLnet Foundation, mit dem die beiden holländischen Studenten an der Universität Amsterdam ihre Masterarbeit bestreiten. Die NLnet Foundation hat im vergangenen Jahr einen Fonds eingerichtet, in dem sie die Weiterentwicklung von DNSSec fördern will. Die so entstandene Extension trägt die fragile Versionsummer "0.42 Alpha" und läuft nur auf dem Firefox 4, der sich noch im Betastatus befindet. Die Autoren verstehen sie denn auch eher als Proof of Concept. Ihre Software stellen die Autoren derzeit nur auf ihrer Webseite https://os3sec.org zum Download bereit. Sie wollen, so schreiben sie, noch eine Reihe Bugs beheben, bevor sie sie auf die offizielle Addon-Seite von Mozilla laden. Den GPLv3-lizenzierten Quellcode gibt es auf Github.

Bei DNSSec erzeugt ein Namensdienst wie die Denic einen kryptographischen Nachweis (TLD-Zertifikat) für eine Top-Level-Domain, im Falle der Denic für ".de". Der Besitzer einer Domain lässt sich vom TLD-Betreiber kryptographisch bestätigen, dass er die Domain tatsächlich besitzt. Diesen Nachweis kann er in Form eines TLD-Zertifikats auf seinem DNS-Server hinterlegen. Eine DNS-Anfrage kann grob vereinfacht drei Status haben: a) DNSSec-mäßig alles in Ordnung; b) wir haben leider noch kein DNSSec; c) Alarm: DNSsec sagt, da ist was faul. Die Firefox-Extension baut diese a)-b)-c)-Entscheidung in den Browser ein und zeigt mit einem Farbcode an, was das Ergebnis der DNSSec-Überprüfung war.

Hintergrund ist, dass sich das Domain Name System (DNS) relativ leicht fälschen lässt. Mit einigermaßen vertretbarem Aufwand könnte ein Angreifer beispielsweise allen Anwendern eines Providers weismachen, dass 80.90.100.110 die IP-Adresse von www.debian.org sei und dass es dort wichtige Security-Updates gäbe, die man installieren solle. Ohne DNSSec kann man nicht einfach nachprüfen, ob diese Zuordnung von IP-Adresse und DNS-Name auch stimmt. Wenn aber ein Admin einen lesenden DNS-Server so konfiguriert, dass er sowohl das TLD-Zertifikat als auch die Bestätigungen pro Domain abfragt, erhält er Kenntnis von der Korrektheit seiner DNS-Abfragen.

Die Funktionsweise von DNSSec erklärt ein frei verfügbarer Artikel auf Linux-Magazin Online. Das Linux-Magazin 12/2010 behandelt "Schlüsseldienste" als Titelthema (Heft-PDF).

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...