Diese Schlüssel dienen dazu, die Echtheit der DNS-Auskünfte sicherzustellen, und tragen so zur Absicherung des DNS bei. Internetbetreiberinnen sind von dieser Aktualisierung besonders betroffen und sollten sich deshalb entsprechend informieren. In der Schweiz wird DNSSEC derzeit nur bei rund 2 Prozent der .ch-Domain-Namen und 1,3 Prozent der .swiss-Domain-Namen verwendet. Diese Nutzungsraten dürften jedoch rapide ansteigen, da einige Registrare diese Option künftig standardmässig in ihre Angebote zur Registrierung von Domain-Namen aufnehmen.
Olivier Girard, Telecomdienste und Post
Die internationale Verwaltungsstelle für Domain-Namen ICANN (Internet Corporation for Assigned Names and Numbers) hat den neuen Zeitplan zur Erneuerung der DNSSEC-Signaturschlüssel in der DNS-Rootzone veröffentlicht. Diesem vorausgegangen war ein erster Versuch, der Ende September 2017 in letzter Minute hatte unterbrochen werden müssen. Die ICANN hatte damals festgestellt, dass zu viele Systeme noch nicht aktualisiert waren.
Die Netzbetreiberinnen (hauptsächlich die Internet-Service-Provider [ISP], Unternehmensnetzbetreiberinnen und DNS-Dienstanbieterinnen) haben nun bis zum 11. Oktober 2018 Zeit, um die notwendigen Anpassungen vorzunehmen. In der Zwischenzeit sollen sie sich über die nächsten Fristen für die Erneuerung der DNSSEC-Signaturschlüssel in der Rootzone und vor allem über allenfalls zu treffende Massnahmen innerhalb ihrer Infrastruktur informieren. Tatsächlich könnte eine Schwachstelle in der mit DNSSEC gebildeten Vertrauenskette (Chain of Trust) schwerwiegende Folgen für einige wichtige webbasierte Systeme und Prozesse haben. Alle relevanten Informationen dazu sind auf der ICANN-Website verfügbar.
DNSSEC – ein Element zur Garantie der Echtheit einer Website
Mit den DNSSEC-Signaturschlüsseln kann sichergestellt werden, dass eine mit einem Domain-Namen bezeichnete Website (z. B. www.admin.ch) auch wirklich diejenige ist, die sie vorgibt zu sein. Diese DNS-Sicherheitserweiterungen sind der Allgemeinheit wenig bekannt. Durch sie wird eine Vertrauenskette gebildet, deren erstes Glied sich in der Rootzone des DNS befindet. Sie greifen somit am Ausgangspunkt der Umwandlung einer Webadresse (z. B. www.google.com) in eine IP-Adresse (z. B. 172.217.13.78). Diese Umwandlung – in der Fachsprache Auflösung genannt – erfolgt jedes Mal, wenn eine Webadresse in einem Browser eingegeben wird.
Bei diesem Prozess wird eine erste Anfrage an die Rootzone des DNS gesendet, die mit Informationen zur Top-Level-Zone (die "com"-Zone beim oben erwähnten Beispiel) antwortet. Eine zweite Anfrage wird danach an die "com"-Zone des DNS geschickt, die über die nächste Ebene, d. h. die "google.com"-Zone, Auskunft gibt. Schliesslich ergeht eine dritte Anfrage an die "google.com"-Zone des DNS, die wiederum Informationen über die Webadresse "www.google.com" und insbesondere ihre IP-Adresse liefert, über die der Browser auf die gewünschte Website zugreifen kann. Mit DNSSEC können die DNS-Antworten auf jede Anfrage im Auflösungsprozess authentifiziert werden. Ohne diese Kontrolle kann sich eine böswillige Person in einer der Ebenen dazwischenschalten, um die Internetnutzenden zu einer falschen, von ihr kontrollierten IP-Adresse zu leiten. Solche Angriffe werden Mittelsmannangriffe genannt (Man-in- the-Middle-Angriff, MITM).
Das DNSSEC-Authentifizierungssystem basiert auf den Prinzipien einer Public-Key-Infrastruktur (PKI). Vereinfacht gesagt signiert der DNS-Server die Informationen, die er an die direkt untergeordnete Ebene des DNS liefert, mit privaten kryptografischen Schlüsseln. Der Resolver (Auflöser), der die Informationen erhält, kann mithilfe von öffentlichen kryptografischen Schlüsseln des DNS-Servers die Herkunft authentifizieren und die Integrität der Daten überprüfen. Eines der Elemente dieses kryptografischen Schlüsselsystems, das ganz am Anfang der Vertrauenskette auf Ebene der DNS-Rootzone verwendet wird, wurde 2010 bei der Einführung von DNSSEC generiert und seitdem nicht mehr erneuert. Genau dieses Element, das als Schlüsselunterzeichnungs-Schlüssel (key signing key, KSK) bezeichnet wird, muss im Rahmen des derzeit von der ICANN geleiteten Erneuerungsprozesses ersetzt werden.
Bei einem ersten, im Jahr 2015 gestarteten Versuch hatte die ICANN geplant, 2016 ein neues KSK- Element zu generieren. Dieses hätte im Juli 2017 in die DNS-Rootzone eingeführt werden sollen (parallel zum alten KSK-Element). Es war vorgesehen, dass die Auflösung von Internet-Domain-Namen ab dem 11. Oktober 2017 nur noch mit diesem neuen KSK-Element erfolgt. Nur wenige Wochen vor diesem Termin zeigte eine Analyse über den Stand der Resolver (Server, die Domain-Namen auflösen und die Authentifizierung der DNS-Antworten mithilfe von DNSSEC validieren) allerdings, dass zu viele dieser Resolver nicht mit den Parametern des neuen KSK-Elements aktualisiert worden waren und daher nicht in der Lage gewesen wären, die Herkunft zu authentifizieren und die Integrität der Antworten auf DNS-Abfragen mit DNSSEC zu überprüfen. Die ICANN beschloss daher am 27. September 2017, den Prozess zu stoppen und die Erneuerung des KSK-Elements zu verschieben.
Das BAKOM wird die Entwicklungen im ICANN-Prozess aktiv verfolgen und die ISPs, die als Fernmeldedienstanbieterinnen nach dem Fernmeldegesetz registriert sind, entsprechend informieren.
Medienkontakt:
info@bakom.admin.ch
Das Bundesamt für Kommunikation (BAKOM) nimmt Aufgaben im Bereich der Medien, des Fernmelde- und Postwesens sowie der Informationsgesellschaft in der Schweiz wahr.
Es sorgt für eine stabile und fortschrittliche Kommunikationsinfrastruktur, schafft Grundlagen für einen starken Medienplatz Schweiz und koordiniert die Umsetzung der Strategie "Digitale Schweiz".
Das Amt bereitet die Entscheide des Bundesrates, des Eidgenössischen Departementes für Umwelt, Verkehr, Energie und Kommunikation (UVEK) und der Eidgenössischen Kommunikationskommission (ComCom) vor. Auch auf internationaler Ebene ist das BAKOM tätig.
| Bundesamt für Kommunikation BAKOM (Firmenporträt) | |
| Artikel 'Überprüfung der Identität einer Website: DNSSEC wird erneuert...' auf Swiss-Press.com |
Kaboom! Afrikanische Comic im Fokus
Stadtmuseum Aarau, 05.05.2025Wasserkraft Schweiz: Statistik 2024 - Bundesamt für Energie
Bundesamt für Energie BFE, 05.05.2025Recht und Wirklichkeit in der Sozialhilfe - Berner Fachhochschule
Berner Fachhochschule, 05.05.2025
08:41 Uhr 
Der genaue Ablauf: So kommt die neue Regierung ins Amt »
08:40 Uhr 
Wenn Heiraten sich nicht rechnet »
08:20 Uhr 
Job-Markt in Bewegung: Arbeitslosenquote sinkt im April auf 2,8 ... »
06:00 Uhr 
Die Sorgen zu allgemeiner künstlicher Intelligenz überwogen: Open ... »
A. Vogel Bio Herbamare 3x10g
CHF 4.35
Coop
A. Vogel Bio Kelpamare
CHF 4.85
Coop
A.Vogel Bio Herbamare Kräutersalz
CHF 4.75
Coop
A.Vogel Bio Herbamare Kräutersalz
CHF 3.40
Coop
A.Vogel Bio Herbamare Kräutersalz
CHF 14.90
Coop
A.Vogel Bio Herbamare Kräutersalz Spicy
CHF 6.45
Coop
Aktueller Jackpot: CHF 2'067'407
Diese Site verwendet Cookies. Mit der Nutzung akzept. Sie die Cookie Policy. 
