Registrar mit DNSSEC

0

007sascha

New Member
Hallo,
ich bin auf der Suche nach einem Registrar der DNSSEC unterstützt. Die Unterstützung muss auf jeden Fall das weiterreichen der Schlüssel ermöglichen. Master/Slave NS optional.
Domains für de, net, com
Leider werben die Registrare ja nicht gerade mit DNSSEC im Gegenteil, fast immer muss nachgefragt werden.
Bisher habe ich Schlundtech MIT DNSSEC und Hetzner OHNE gefunden.
Was könnt ihr sicheres günstiges in der EU empfehlen?
Bzw. weiß jemand etwas zu inwx?
Ach ja ipv6 ist selbstverständlich ;)
Gruß Sascha
 
Ok Möglichkeiten gibt es ja. Hat jemand Interesse an DNS-Sharing für DNSSEC? Also Slave NS gegen Slave NS. Näheres per PM
 
Bei Hetzner wird es auch auf Wunsch bei der Denic hinterlegt. Man muss nur kurz den Support nerven. ;-)

LG,
Daniel
 
Ja habe es bei Hetzner gerade mit zwei Testdomains am laufen. Kann jedem nur empfehlen das dnssec nicht zu unterschätzen.
 
Hallo Leute, ich habe mal eine kleine Frage zu dem Thema, auch wenn es etwas OffTopic ist. Was genau macht denn DNSSEC mit meiner Domain? Ich hatte mir den Wikipedia Link durchgelesen und war noch mehr verwirrt als vorher :eek:

Ich bin wegen diesem Test auf DNSSEC aufmerksam geworden, hatte dann hier und dort ein wenig gelesen aber es irgendwie nicht verstanden und hoffe das man mir das kurz und knackig erklären könnte :)

Mein Protokoll ist nämlich Sicher und der Zertifikat vertrauenswürdig. Aber DNSSEC ist halt nicht vorhanden.

Gruß, Domi
 
Domi said:
Ich bin wegen diesem Test auf DNSSEC aufmerksam geworden, hatte dann hier und dort ein wenig gelesen aber es irgendwie nicht verstanden und hoffe das man mir das kurz und knackig erklären könnte :)
Click to expand...
Gut ich versuche den Sinn von DNSSEC anhand eines Beispiel zu verdeutlichen.
sichere-Domain.de zeigt auf die IP 123.123.123.123 welche wie bei dir mit einem Zertifikat versehen ist.
Ein Virus, Trojaner, Hacker o.ä. ändert nun deine hosts Datei so ab dass sichere-Domain.de auf 111.111.111.111 zeigt. Dieser Rechner 111.111.111.111 wird von dem Angreifer verwaldelt und hat ein eigenes Zertifikat für die Domain ausgestellt.
Was passiert nun wenn du die Domain aufrufst? Für dich scheint alles in Ordnung zu sein da du ein Zertifikat bekommst das vom Browser nicht bemängelt wird. Auch wird verschlüsselt JEDOCH mit dem falschen Server.
Bei dnssec würde auffallen dass die IP eine andere ist.
Somit steht und fällt alles mit sicherem DNS.
DNS-Zensur wäre allerdings auch nicht mehr so einfach möglich, aber das ist nur ein positiver Nebeneffekt;-)
 
Supi, vielen Dank für die Erklärung. Ich hatte wie das genau zusammen hängt. Aber das mit der manipulierten IP Adresse leuchtet mir nun ein.

Wenn ich ja nun auf eine meiner Domains zugreife, habe ich ja oben das Schloss. Es ist nur ein normales Zertifikat vorhanden und nicht das erweiterte mit dem grünen Balken wie bei einigen Banken.

Bekommt der Browser eigentlich auch irgendwie mit dass das Zertifikat nun auf einmal zu einer falschen IP führt oder das da etwas nicht mehr richtig passt, wenn ich DNSSEC bei INWX aktivieren lasse?
 
Domi said:
Bekommt der Browser eigentlich auch irgendwie mit dass das Zertifikat nun auf einmal zu einer falschen IP führt oder das da etwas nicht mehr richtig passt, wenn ich DNSSEC bei INWX aktivieren lasse?
Click to expand...

Sofern kein Validator per Plugin aktiviert ist, der DNSSEC prüft bekommt das NOCH kein Browser mit. Vorausgesetzt das Zertifikat auf dem Angreiferhost ist von einer Zertifizierungsstelle beglaubigt.

Momentan ist das ein Problem wie mit der Hehne und dem Ei. Für was soll es im Browser überprüft werden wenn keiner dnssec nutzt. Zumal dann die ganzen Zertifizierungsstelle n arbeitslos werden wenn das funktioniert.

Nur mit dem aktivieten von dnssec bei inwx ist es aber nicht getan, du musst dann auch dnssec bereitstellen. Vermutlich auf eigenen Nameservern. Weiß gerade nicht inwieweit inwx da schon ist
 
Ein Virus, Trojaner, Hacker o.ä. ändert nun deine hosts Datei so ab dass sichere-Domain.de auf 111.111.111.111 zeigt.
Click to expand...
Das ist ein SEHR schlechtes Beispiel und nicht Hauptziel von DNSSEC. Unter allen gängigen Systemen kann die hosts-Datei nur von privilegierten Benutzer abgeändert werden, fallso also ein Trojaner darauf Zugriff hat kann er auch die DNSSEC-Überprüfung in deinem Client umgehen.
DNSSEC soll gegen DNS-Umleitungen (bspw in einem öffentlichen Wlan), Cache Poisoning und ähnliche Angriffe wirken.

Für was soll es im Browser überprüft werden wenn keiner dnssec nutzt.
Click to expand...
AUsser wenn der Browser einen eigenen DNS-Resolver mitbringt ist es nicht Arbeit des Browsers sondern des Betriebssystemes um DNSSEC-Validierungen durch zu führen. Da aber genau wie bei CRL hier ein "soft-fail" vorgesehen ist (sofern überhaupt implementiert), ist DNSSEC momentan eher vernachlässigbar.
Selbst wenn man aber DNS zertifieren kann hat man noch keine Transportverschlüsslung. Dies kann zwar mit dem auf DNSSEC basierenden DANE realisiert werden, was aber bislang kein einziger Browser oder Proxy beherrscht.

Zumal dann die ganzen Zertifizierungsstelle n arbeitslos werden wenn das funktioniert.
Click to expand...
Schon allein die legacy-Kompatiblität zu inkompatiblen Geräten wird auf vorhersehbare Zukunft weiterhin das Geschäft der CA's normal vorantreiben.
Davon abgesehen ist eine CA auch für viele nicht von DNSSEC oder DANE abnehmbare Arbeiten verantwortlich wie Timestamping oder Besitzer-/Dokumentsignaturen.
 
Ja richtig, ist kein gutes Beispiel, jedoch ein sehr einfaches. Wollte DNS-Umleitungen, Cache Poisoning o.ä. nicht erklären bzw voraussetzen.
Dnssec und Browser habe ich zugegeben mit Dane vermischt;-)
 
You must log in or register to reply here.
Back
Top