Namen-Checker

DNSSEC für Clients und Client-Netze einrichten

Praxis & Tipps | Praxis

DANE sichert Zertifikate, die Internet-Server als Identitätsnachweis und zur Verschlüsselung nutzen. Der Anwender kann sich auf die DANE-Infos aber nur verlassen, wenn ein DNS-Client sie auf sichere Weise besorgt hat. Solch einen DNSSEC-fähigen Resolver richtet man ganz leicht lokal auf dem PC ein oder stellt ihn als Server-Funktion im Netz zur Verfügung.

Zurzeit gibt es noch keine einfache, standardisierte Methode, die DNS-Kommunikation zwischen einer Anwendung und dem DNS-Resolver zu sichern. Um das Risiko klein zu halten, sollte die DNSSEC-Validierung deshalb möglichst nah an der Applikation ablaufen, also am besten mit einem lokalen Resolver auf jedem PC.

Das Umstellen auf einen öffentlichen DNS-Resolver, der DNSSEC validiert, wie es Googles Server 8.8.8.8 und 8.8.4.4 tun, ist tabu: Denn deren Antwort kommt ungeschützt per UDP und lässt sich damit leicht von einem Man-in-the-Middle manipulieren. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Plug-ins für gängige Browser überprüfen beim Webseitenaufruf sowohl den DNSSEC-Status als auch, ob das Zertifikat der Site zu ihrem TLSA-Record passt.

Anzeige
Anzeige