DNSSEC und NIS2

Die Nameserver von kapper.net (DNS-Server) – diese dienen als technische Basis für Domains, welche unsere Kunden bei uns hosten – bieten DNSSEC als Sicherheitsstufe für unsere Kunden an.

Besonders im Zusammenhang mit der kommenden NIS2-Umsetzung (in Österreich verspätet) ist besonders im Betrieb der DNS-Server auf deren Sicherheit zu achten. kapper.net setzt hier auf bis zu acht (8) global verteilte sogenannten Autoritative-Name-Server, die leicht als ns1.kapper.net bis ns8.kapper.net zu erkennen sind. Neben dem üblichen Schutz dieser Server gegen DDoS-Angriffe und einer globalen möglichst schnellen Beantwortung von Anfragen bieten diese für unsere Kunden die Option der digitalen Zertifizierung der Antworten auf Anfragen nach zB MX-Einträgen oder Host-Einträgen.

Kurz gesagt verbessert DNSSEC die Sicherheit des DNS-Systems, indem es die Authentizität und Integrität der DNS-Daten garantiert. Dies schützt Nutzer vor verschiedenen Arten von Angriffen, die auf die Manipulation von DNS-Daten abzielen. Allerdings erfordert die Implementierung von DNSSEC, dass sowohl die Domäneninhaber als auch die DNS-Resolver aktiv daran teilnehmen, um die Vorteile vollständig nutzen zu können.

Über unser DNS-Panel können unsere Kunden die Aktivierung von DNSSEC für ihre Domains beauftragen, sollten Sie mehrere Domains bei uns hosten und aktivieren wollen, können Sie uns auch eine Liste an unseren Support übermitteln.

DNSSEC (Domain Name System Security Extensions) bietet mehrere wichtige Sicherheitsfunktionen für DNS-Benutzer und DNS-Benutzerinnen:

  1. Authentizität und Integrität: DNSSEC stellt sicher, dass die DNS-Antworten, die ein anfragendes System erhält, authentisch sind und nicht manipuliert wurden. Dies wird durch digitale Signaturen erreicht, die mit den DNS-Einträgen mitgeliefert werden. Diese Signaturen können überprüft werden, um sicherzustellen, dass die Daten von der autorisierten Quelle stammen und unterwegs nicht verändert wurden.
  2. Verhinderung von DNS-Spoofing und Cache Poisoning: Ohne DNSSEC könnten Angreifer falsche DNS-Antworten einschleusen, was dazu führen könnte, dass Nutzer oder Nutzerinnen auf gefälschte Websites weitergeleitet werden (z.B. für Phishing-Angriffe). DNSSEC verhindert dies, indem es sicherstellt, dass die DNS-Daten nur von vertrauenswürdigen Quellen (unseren Nameservern) akzeptiert werden.
  3. Vertrauen in DNS-Daten: Durch die Validierung von DNS-Daten über eine Kette von Vertrauensstellungen (von der Root-Zone bis zur Domäne des kapper.net Kunden), kann ein Nutzer sicher sein, dass die erhaltenen Informationen korrekt sind. Das ist besonders wichtig für Anwendungen, die auf genaue DNS-Informationen angewiesen sind, wie z.B. E-Mail-Server oder Sicherheitszertifikate.
  4. Nicht-Abstreitbarkeit: DNSSEC-Einträge können nicht geleugnet werden, nachdem sie erstellt wurden. Dies bedeutet, dass jemand, der eine DNS-Antwort signiert hat, später nicht behaupten kann, diese Antwort nicht gesendet zu haben.
  5. Einführung von DANE (DNS-based Authentication of Named Entities): DNSSEC ermöglicht DANE, wodurch zusätzliche Sicherheitsmechanismen wie die Validierung von TLS/SSL-Zertifikaten über DNS möglich werden. Dies kann die Sicherheit von Internetverbindungen erhöhen, indem es eine weitere Schicht der Zertifikatüberprüfung hinzufügt. Allerdings wird DANE bisher nur von wenigen Softwarepaketen unterstützt und die weitere Entwicklung bleibt aus unserer Sicht (2024) abzuwarten.