DNS Security Extensions (DNSSEC)
DNS Security Extensions oder abgekürzt DNSSEC sind eine Reihe von IETF-Standards (Internet Engineering Task Force), mit denen Schwachstellen im DNS-System (Domain Name System) geschlossen werden sollen. Das Ziel von DNSSEC ist, die Sicherheit des gesamten Internets durch das Beheben mehrerer Sicherheitslücken zu erhöhen. Im Kern erweitert DNSSEC das DNS-System vor allem um eine Authentifizierung.
Das Domain Name System kümmert sich um die Navigation im Internet, indem es Domänennamen mit IP-Adressen verknüpft. So wie es ursprünglich designt wurde, hat das DNS-Protokoll jedoch keine Möglichkeit, um zu überprüfen, ob eine Domain vom eigentlichen Besitzer stammt oder ob sie gefälscht wurde. Diese Lücke lässt das System für eine Reihe von Attacken wie zum Beispiel DNS-Cache-Poisoning offen.
Beim DNS Cache Poisoning ersetzt ein Angreifer die echte IP-Adresse einer Domain in einer DNS-Tabelle mit einer anderen Adresse. Anfragen an die Domain werden dann auf die gefälschte Adresse umgeleitet. Anschließend kann von dort zum Beispiel ein Wurm, eine Spyware, ein Browser-Hijacker oder andere Malware heruntergeladen und heimlich auf dem Computer des Nutzers installiert werden. DNSSEC verwendet eine Reihe von kryptographischen Schlüsseln und digitalen Zertifikaten, um sicherzustellen, dass die angegebene IP-Adresse korrekt ist und dass die sich daraus ergebenden Verbindungen zu den richtigen Servern führen.
Die elementaren Bestandteile von DNSSEC wurden bereits im März 2005 in drei RFCs (Request for Comments) festgelegt: RFC 4033 - DNS Security Introduction and Requirements, RFC 4034 - Resource Records for the DNS Security Extensions sowie RFC 4035 - Protocol Modifications for the DNS Security Extensions.
Die Einrichtung von DNSSEC gilt allerdings als aufwendig und erfolgt nur auf freiwilliger Basis. Das hat dazu geführt, dass sich die neue Technik nur langsam verbreitet hat. In Ländern wie den USA empfiehlt jedoch zum Beispiel die US-Regierung die Nutzung von DNSSEC in allen behördlichen Netzen. Das National Institute of Standards and Technology (NIST) und die für die Verwaltung zuständige GSA (General Services Administration) haben DNSSEC bislang für die oberste .gov-Domain eingeführt. Viele untergeordnete Behörden haben dies für ihre eigenen Domains jedoch noch nicht umgesetzt. In Deutschland ist die Validierung von .de-Domains nach Angaben der Denic seit dem 7. Juni 2011 möglich.