Domänensignatur (DNSSEC)

Warum

Nachfolgend finden Sie einige Links zu Beschreibungen einiger bekannter Vorfälle, die DNSSEC wahrscheinlich hätte verhindern können.

• "Cache-Poisoning-Angriff trifft brasilianische Großbank"
• "Eircom deckt 'Cache Poisoning'-Angriff durch Hacker auf, der zu Ausfällen führte"
• "DNS-Cache-Poisoning führt zu Malware-Angriffen auf Brasilianer"
• "Cache-Poisoning von Mail-Handling-Domains erneut untersucht"
• "Neither Snow Nor Rain Nor MITM... Eine empirische Analyse der Sicherheit bei der E-Mail-Zustellung"

Nachfolgend ein Zitat aus der letztgenannten Forschungspublikation:

Die E-Mail-Sicherheit ist, wie die vieler anderer Protokolle, untrennbar mit der Sicherheit der DNS-Auflösung verknüpft. Anstatt auf das SMTP-Protokoll abzuzielen, kann ein aktiver Netzwerkangreifer die DNS-Einträge eines Ziel-Mail-Servers fälschen, um SMTP-Verbindungen auf einen Server unter der Kontrolle des Angreifers umzuleiten. [...] Wir haben Beweise dafür gefunden, dass 178.439 von 8.860.639 (2,01 %) öffentlich zugänglichen DNS-Servern ungültige IPs oder MX-Einträge für eine oder mehrere dieser Domänen angegeben haben.

Verwendungsstatistiken

• Pulse - DNSSEC-Metrik von der Internet Society
• .nl-Statistiken zu DNSSEC von SIDN Labs
• DNSSEC Validation Measurement von APNIC
• DNSSEC Deployment Report

Hintergrundinformationen

• FAQ zu DNSSEC von SIDN
• ISOCs Deploy360 über DNSSEC
• DNSSEC.net
• Wikipedia über DNSSEC
• Knowledge-Sharing and Instantiating Norms for DNS and Naming Security (KINDNS)

Spezifikationen

• RFC 4033: DNS Security Introduction and Requirements
• RFC 4034: Resource Records for the DNS Security Extensions
• RFC 4035: Protokollmodifikationen für die DNS-Sicherheitserweiterungen
• RFC 8624: Algorithm Implementation Requirements and Usage Guidance for DNSSEC
• RFC 9276: Leitfaden für NSEC3-Parametereinstellungen