DNSSEC zum Schutz der Identität im Internet
Maskenfall
DNSSEC (Domain Name System Security Extensions) kann die Sicherheit der Internetanwender wirksam erhöhen. Dennoch nutzen immer noch zu wenige Domain-Betreiber kryptografische Signaturen, die das Jahrzehnte alte DNS ergänzen – aus Gründen, die auf Mythen basieren und auf zu wenig Wissen über Nutzen und Betrieb.
Mit DNSSEC verhält es sich wie mit Backup: Kaum einer mag es, aber schon einige Firmenpleiten dürften mit dem Verlust nicht wiederherstellbarer Daten ihren Anfang genommen haben.
Auch bei DNSSEC handelt es sich um eine Investition in ein anzunehmendes Szenario: Antworten des DNS-Servers könnten gefälscht werden, ohne dass es jemand bemerkt. Im falschen Glauben, mit dem richtigen Dienst zu kommunizieren, tauschen die Programme der Anwender Daten aus. Eine unwichtige Datei? Benutzername und Kennwort? Zahlungsdaten an die vermeintliche Hausbank? Oder der Download von Malware vom scheinbar vertrauenswürdigen Update-Server? Im Internet funktioniert fast nichts ohne DNS. Es ist nach IP das zweitwichtigste Core-Protokoll. Will ein Client eine Verbindung zu einem Server aufbauen, versucht dieser zunächst, den Namen des Dienstes in eine IP-Adresse zu übersetzen, damit er den Server unter dieser Adresse kontaktieren kann. Weil dieser Übersetzungsvorgang – die „Namensauflösung“ – vor der eigentlichen Nutzung des Dienstes steht, soll diese möglichst schnell stattfinden.