Cantabile unterstützt sicheres Surfen im Netz

Eintrag vom Freitag, 31. Juli 2015

Als Vorreiter in Haßmersheim haben wir unsere Website nicht nur mit HTTPS, sondern seit kurzem auch zusätzlich mit DNSSEC abgesichert. Nur was bringt das?

Ein Gastbeitrag vom Cantabile-Webmaster

Kurz vorweg: Dieser Artikel ist ein Versuch, die Vorteile von DNSSEC einfach zu erklären und verzichtet bewusst auf den genauen technischen Hintergrund, da der für die meisten Endanwender überhaupt nicht relevant ist. Falls dich die Technik näher interessiert, frage bitte die Suchmaschine deines Vertrauens…

Was bringt dieses DNSSEC?

Mit DNSSEC kannst du prüfen, ob du tatsächlich mit der Internetseite, die du aufgerufen hast, verbunden bist. DNSSEC warnt dich, wenn die Anfrage von deinem Browser auf einen gefälschten Webserver umgeleitet wurde.

Ohne DNSSEC können deine Logindaten geklaut werden und alles, was du online machst, kann über den gefälschten Server mitgeschnitten werden. Mit DNSSEC kannst du dich besser vor Phishing, Pharming, Man-in-the-middle-Angriffen, Cache Poisoning und anderen gefährlichen Datenklau-Methoden schützen.

DNSSEC ist außerdem die Voraussetzung für DANE. Dieses relativ neue Verfahren stopft verschiedene Sicherheitslücken von HTTPS (bzw. TLS) und erhöht so die Sicherheit beim Zugriff auf Webseiten, aber auch beim verschlüsselten Transport von E-Mails. DANE wird von immer mehr E-Mail-Anbietern unterstützt.

Wie kann ich DNSSEC nutzen?

Leider wird DNSSEC noch nicht automatisch von deinem Internetbrowser geprüft. Es gibt aber Erweiterungen für die bekanntesten Browser, die dir mit einfachen Symbolen anzeigen, ob du der Verbindung trauen kannst oder nicht.

Hier das Plugin für Firefox, weitere Plugins für andere Browser werden von der Registrierungsstelle für tschechische Internetdomains (.cz) bereitgestellt. Warum Tschechien? Weil DNSSEC in Tschechien schon weit verbreitet ist und DNSSEC dort aktiv gefördert wird. Deutschland hinkt hier leider hinterher.

Bitte beachten: Die DNSSEC-Prüfung kann einige Sekunden dauern und den Browser etwas ausbremsen. Ebenso sind die Plugins noch nicht zu 100% ausgereift und können gelegentlich dazu führen, dass der Browser abstürzt. Es bleibt zu hoffen, dass die Browser-Hersteller die DNSSEC-Prüfung bald als Standardfunktion ergänzen und diese Probleme damit verschwinden.

Du kannst unsere Website natürlich auch weiterhin ohne die DNSSEC-Prüfung aufrufen – dann kannst du aber nicht wissen, ob die Daten vielleicht über einen gefälschten Webserver geleitet oder manipuliert wurden.

Aber es gibt doch schon HTTPS?

DNSSEC und HTTPS sind zwei Paar Stiefel. Mit HTTPS wird die Verbindung zwischen deinem Computer und dem Webserver, auf dem die Internetseite gespeichert ist, verschlüsselt (also die Daten auf dem Weg zwischen deinem PC und unserem Webserver).

Nur bringt diese Verschlüsselung leider wenig, wenn du nicht sicher sein kannst, ob du wirklich mit dem richtigen Ziel-Webserver verbunden bist. Eigentlich sollte dir das SSL-Zertifikat diese Sicherheit geben. Leider gab es in den letzten Jahren aber immer mehr Fälle, in denen SSL-Zertifikate erfolgreich manipuliert oder gefälscht wurden und die Verschlüsselung so umgangen wurde.

Hier kommt DNSSEC ins Spiel. Du bekommst eine Warnung angezeigt, wenn die Verbindung zum Webserver manipuliert wurde. Diese Prüfung ist unabhängig vom SSL-Zertifikat. Deshalb ist DNSSEC gerade in Kombination mit HTTPS sinnvoll. DNSSEC verschlüsselt keine Daten, dafür gibt es nach wie vor HTTPS.

Wer verwendet DNSSEC?

Die DNSSEC-Prüfung und -Absicherung sollte eigentlich neben der HTTPS-Verschlüsselung längst Standard sein, vor allem bei Banken oder wenn du etwas in Online-Shops bestellst. Die Realität sieht leider anders aus. DNSSEC ist hauptsächlich in Schweden, Tschechien und den Niederlanden weit verbreitet, in Deutschland sind bisher nur sehr wenige Internetseiten mit DNSSEC abgesichert.

Getreu dem Motto „nicht aufregen, einfach selber besser machen“ sind wir deshalb zu einem Hosting-Anbieter mit DNSSEC gewechselt und die Cantabile-Website unterstützt somit seit kurzem auch DNSSEC. Unsere Website bietet damit in diesem Punkt ein höheres Sicherheitsniveau, als die meisten anderen deutschen Internetseiten oder auch internationale Online-Dienste.

Das mag für eine Vereinswebsite übertrieben wirken, aber wir gehen hier gerne mit gutem Beispiel voran und hoffen auf viele Nachahmer. Jeder, der eine eigene Website hat, trägt auch Verantwortung für die Sicherheit seiner Besucher.

DNSSEC wird übrigens auch von der DENIC (Registrierungsstelle für deutsche Internetadressen) und vom Bundesamt für Sicherheit in der Informationstechnik empfohlen und ist auch für Internetseiten ohne HTTPS-Verschlüsselung sinnvoll.

Warum ist DNSSEC noch nicht Standard?

Ohne näher auf den technischen Hintergrund einzugehen: Damit DNSSEC funktioniert, muss es von vielen Beteiligten unterstützt werden (Domain-Registrierungsstellen, Nameservern, den Webhosting-Anbietern, Resolvern und letztlich auch von deinem Internetbrowser).

Die Verbreitung von DNSSEC stockt somit wegen einem Henne-Ei-Problem: Wenn nur ein Teil in der Kette DNSSEC nicht unterstützt, macht es für die anderen Teile keinen Sinn, das einzuführen und zu verwenden.

Bei Cantabile sind alle Voraussetzungen gegeben – nur der letzte Schritt fehlt, die Prüfung in deinem Browser. Damit hast du es in der Hand, ob du von der zusätzlichen Sicherheit durch DNSSC profitieren möchtest oder nicht.

DNSSEC steht doch aber auch in der Kritik?!

Es gibt in der IT hitzige Diskussionen, ob DNSSEC sinnvoll ist und gefördert werden sollte, oder ob es „ein totes Pferd“ ist. DNSSEC bringt auch Probleme und stellt die IT vor neue Herausforderungen. Die Diskussion ist gut und sinnvoll, schließlich trägt sie auch dazu bei, dass DNSSEC weiter verbessert wird.

Bei näherer Betrachtung, Abwägung der Vor- und Nachteile und unter Berücksichtigung der vielen Meldungen von kompromittierten SSL-Zertifikaten, Hackerangriffen, Massenüberwachung und Identitätsdiebstahl sollte aber eigentlich klar sein, dass das DNS in der jetzigen Form keine Sicherheit bietet und es mit DNSSEC schon seit längerem einen möglichen Weg der Verbesserung gibt. DNSSEC ist vielleicht nicht optimal, aber besser, als gar nicht zu handeln.

In diesem Sinne: Für ein etwas sichereres Internet.