Nicht erst nach den Enthüllung von Edward Snowden über die umfassende Überwachung der Geheimdienste wird geraten, im Internet sichere Verbindungen zu nutzen und E-Mails zu verschlüsseln. Doch Verschlüsselung ist manchmal umständlich oder teuer. So kann man als Webseiten-Betreiber zum Beispiel SSL-Zertifikate kaufen, die der Browser dann als vertrauenswürdig einstuft. Oder man erstellt als Betreiber seine eigenen Zertifikate, die dann aber nicht vom Browser erkannt werden und vom Nutzer erst als nach einer manuellen Prüfung als vertrauenswürdig eingestuft werden.

Zukünftig kann es mit den Protokollen DNSSEC und DANE einfacher werden. Mit DNSSEC wird die Namensauflösung von Domainnamen in IP-Adressen abgesichert. DANE hingegen erlaubt es, die Überprüfung von SSL -Zertifikaten, wie sie zum Beispiel bei Webseiten mit HTTPS verwendet werden, über die Namensauflösung zu ermöglichen. Zusammen genommen besteht damit die Möglichkeit, Webseiten, Mailserver oder ähnliche Dienste so abzusichern, daß die Echtheit der Gegenseite nachgewiesen werden kann.

Leider ist die Unterstützung noch nicht in allen Browsern und Mailprogrammen von Haus aus so umgesetzt, daß die Nutzer davon direkt profitieren, aber es gibt zum Beispiel für die gängigsten Browser auf https://www.dnssec-validator.cz/ oder für Mozilla Firefox zum Beispiel auch auf Extensions Webseite. Ob eine Webseite dann DNSSEC und/oder DANE unterstützt, sieht man dann in der Adresszeile: 

Das grüne Schlüsselsymbol zeigt an, ob die Domain per DNSSEC abgesichert ist. Das grüne Schloßsymbol zeigt an, daß das SSL-Zertifikat für die Verschlüsselung bei HTTPS erfolgreich verifiziert werden konnte. Das graue Schloßsymbol auf der linken Seite ist das normale Symbol. Da https://www.windfluechter.net/ kein gekauftes, sondern ein selbsterstelltes Zertifikat benutzt, wird es deshalb nicht vom Browser als vertrauenswürdig erkannt. Gekaufte Zertifikate bieten keinen Mehrwert an Sicherheit, sondern sind im Grunde nur ein lohnendes Geschäftsfeld für Unternehmen, um Geld zu verdienen. Im Gegenteil gab es bereits zahlreiche Vorfälle, bei denen gefälschte Zertifikate auftauchten, die von angeblich vertrauensvollen Zertifizierungsstellen ausgegeben und von den Browsern aktzeptiert wurden. Hier bieten DNSSEC und DANE insofern eine Verbesserung, da nun die Betreiber selber ohne Zwischenhändler für einen sicheren Nachweis der Vertrauenskette ohne kommerziellen Zwischenhändler sorgen können.

Seit kurzem unterstützt nun auch WindfluechterNet grundsätzlich sowohl DNSSEC als auch DANE. Bei einigen Domains ist diese Unterstützung bereits aktiviert, etwa bei https://www.windfluechter.net/, https://webmail.windfluechter.net/ oder beim WindfluechterNet Mailserver. Damit bietet WindfluechterNet für die Nutzer moderne Sicherheit an, die selbst viele größere und internationale Anbieter derzeit noch nicht bieten.

Mehr Sicherheit durch DNSSEC und DANE
Tagged on: