DNSSEC / SSL/TLS

  • Hallo zusammen,

    ich beschäftige mich in letzter Zeit mit DNS und bin dabei auch über DNSSEC gestolpert, und habe mich hier ein wenig eingelesen.

    Im Forum liest man ja immer wieder mal das DNSSEC bei netcup nicht wirklich läuft. Ist es dann empfehlenswert einen anderen NS für die Domains bei netcup zu verwenden?
    Und wann brauche ich DNSSEC eigentlich? Soweit ich das richtig verstanden habe eigentlich immer dann (bzw. es ist zu empfehlen), wenn es ein Shop ist oder sensible Daten ausgetauscht werden.
    Aber wenn ich z.B. eine einfache Seite mit reinen Informationen habe, ist DNSSEC überflüssig?

    Und da es mehr oder weniger in den gleichen Bereich reinfällt, und mich schon immer interessiert hat:
    Warum gibt es kostenpflichtige Zertifikate, wenn LE diese kostenfrei anbietet?
    Was können die kostenpflichtigen mehr, und wieso gibt es da so viele verschieden?

    Vielen Dank für eure Antworten =)

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Aber wenn ich z.B. eine einfache Seite mit reinen Informationen habe, ist DNSSEC überflüssig?

    Das kann man so nicht sagen. Wenn der abfragende Client auf DNSSEC verzichtet, dann ist es überflüssig. Wenn er es will, dann scheitert die DNS Auflösung, vollkommen egal, was auf der Seite gehostet wird.



    Warum gibt es kostenpflichtige Zertifikate, wenn LE diese kostenfrei anbietet?

    Das Betreiben einer PKI kostet schon Geld. LE hält sich ja auch nur, weil einige der Internetriesen ne Menge Geld in den Topf tun.


    Was können die kostenpflichtigen mehr, und wieso gibt es da so viele verschieden?

    Vor allem längere Laufzeiten und geringerer administrativer Aufwand.

  • Und manche Zertifikate erfüllen noch höhere Sicherheitsstandards - ist z.B. bei Banken vorgeschrieben.

    Ist dann keine normale DNS Challenge sondern man muss sich mit Pass usw. Verifizieren.

    Sieht dann auch je nach Browser etwas aus z.B. beim Chrome steht dann Ausgestellt für etc.



  • Und wann brauche ich DNSSEC eigentlich?

    DNSSEC signiert DNS Antworten mit einer Chain of Trust.

    Ansonsten kann jeder DNS Anbieter diese Informationen manipulieren - dein ISP, Google, Netcup - wer auch immer.

    So werden beispielsweise bei Vodafone Anfragen zu kino.to manipuliert, im Rahmen von Netzsperren.


    DNSSEC sorgt dafür, dass man hier ein Vertrauen aufbauen kann, dass die Informationen des DNS Servers dem des Diensteanbieters entsprechen.



    Aber wenn ich z.B. eine einfache Seite mit reinen Informationen habe, ist DNSSEC überflüssig?

    Das entscheidest letztenendes natürlich du. Es ist sinnvoll DNSSEC anzubieten ist - genau so wie es Sinnvoll ist, Immobilien mit Glasfasern auszustatten.

    Mehr DNSSEC führt zu mehr Sicherheit, um beispielsweise gegen Netzsperren vorzugehen.



    Warum gibt es kostenpflichtige Zertifikate, wenn LE diese kostenfrei anbietet?

    LE Zertifikate gelten 90 Tage.

    Bei kostenpflichtigen Zertifikaten, wird teilweise die Firma dahinter geprüft und entsprechend in das Zertifikat geschrieben, inklusive einer Garantie, dass der Austeller auch wirklich der Aussteller ist.


    Teilweise gibt es auch Zertifikate, die auf eine IP Ausgestellt werden, statt auf einen Domainnamen (siehe z.B. https://1.1.1.1 ) etc.



    Was können die kostenpflichtigen mehr, und wieso gibt es da so viele verschieden?

    Sind unterschiedliche Marken, die aber wenigen Konzernen gehören.


    DigiCert beispielsweise gehören GeoTrust, RapidSSL, Verisign und Thawe.

    Teilweise sind die Gewinnmargen hier riesig - zumal man sich ja durch Premiumpreise von den kostenfreien Angeboten abheben kann.

    Ich hatte schon Kunden, die wollten unbedingt eine grüne Adressleiste im Browser (die Älteren werden sich erinnern) - ohne Notwendigkeit.

  • Abgesehen von Netzsperren verhindert DNSSEC auch einige Angriffsvektoren von unliebsamen Zeitgenossen, die deine Website-Besucher lieber auf ihrer Malwaresite begrüßen wollen, indem sie z.B. die IP deines A-record in der Antwort des DNS-Servers fälschen. So etwas lässt sich dann durch Auswertung der DNSSEC Informationen erkennen. Passt die angegebene IP nicht zur Signatur, dann ist die IP falsch (oder die Signatur ;( wie es bei manchen Hostern gelegentlich vorkommen soll).

  • Im Forum liest man ja immer wieder mal das DNSSEC bei netcup nicht wirklich läuft. Ist es dann empfehlenswert einen anderen NS für die Domains bei netcup zu verwenden?

    Absolut empfehlenswert. DNSSEC mit netcup-Nameservern ist sehr unzuverlässig. Ich kann stattdessen (wie auch einige andere hier im Forum) deSEC empfehlen.


    Zusätzlich ermöglicht DNSSEC die Nutzung von DANE/TLSA. Dann kann das TLS-Zertifikat der Webseite, des Mailservers, etc. über das signierte DNS überprüft werden (zusätzlich oder statt der CA). In der Theorie funktioniert das. In der Praxis musst du dir dafür meistens ein Addon für den Browser installieren, da DANE/TLSA von fast keiner Anwendung unterstützt wird.

  • Ja, deSEC finde ich auch gut. Die haben da noch irgendwelche zusätzlichen Geschichten am Laufen, woduch die Verbreitung von Änderungen schneller geht. Letztens hatte ich was geändert, wenige Minuten später kannten die Google-Resolver schon die neuen Werte. Ich vermute, Google hat die direkt bei mir bei der Eingabe abgegriffen ;) . Mein Unbound auf dem PC brachte noch den alten Wert aus dem Cache (TTL noch nicht abgelaufen) und hätte noch ne Weile gebraucht, aber da kann ich ja notfalls einfach gezielt die Zone aus dem Cache löschen ;) .

  • Wenn der abfragende Client auf DNSSEC verzichtet, dann ist es überflüssig. Wenn er es will, dann scheitert die DNS Auflösung,

    Welcher abfragende Client "will" denn automatisch DNSSEC? Also wie kann ich mir das vorstellen? Ich verwende einen ganz normalen Browser, und der wird das vermutlich nicht Standardmäßig abfragen?

    LE hält sich ja auch nur, weil einige der Internetriesen ne Menge Geld in den Topf tun.

    Rein aus Interesse: Welche Internetriesen sind das, und warum werfen wie so viel Geld in den Topf? Also welchen Nutzen ziehen sie daraus?

    Vor allem längere Laufzeiten und geringerer administrativer Aufwand.

    Das verstehe ich nicht ganz. Was bringt mir eine längere Laufzeit? Beim orangenen Hoster habe ich letztens zufällig gesehen, dass das dortige Zertifikat nur einen Tag gültig ist. Aber so lange sich das wie mein LE Zertifikat jedes mal automatisch erneuert, kann mir das doch egal sein, oder? Ob jetzt täglich oder alle 90 Tage, automatisch ist automatisch..

    manche Zertifikate erfüllen noch höhere Sicherheitsstandards ... Ist dann keine normale DNS Challenge sondern man muss sich mit Pass usw. Verifizieren.

    Ah okay, das macht durchaus Sinn... Aber das ist ja nichts was der Client überprüft, sondern dann von der Bank (z.B.) verwendet und vorgegeben wird?

    LE Zertifikate gelten 90 Tage.

    Bei kostenpflichtigen Zertifikaten, wird teilweise die Firma dahinter geprüft und entsprechend in das Zertifikat geschrieben, inklusive einer Garantie, dass der Austeller auch wirklich der Aussteller ist.

    Ich verstehe immer noch nicht genau was der Vorteil sein soll. LE Zertifikate können doch auch nicht manipuliert werden? Oder etwa doch?

    Abgesehen von Netzsperren verhindert DNSSEC auch einige Angriffsvektoren von unliebsamen Zeitgenossen, die deine Website-Besucher lieber auf ihrer Malwaresite begrüßen wollen, indem sie z.B. die IP deines A-record in der Antwort des DNS-Servers fälschen. So etwas lässt sich dann durch Auswertung der DNSSEC Informationen erkennen. Passt die angegebene IP nicht zur Signatur, dann ist die IP falsch (oder die Signatur ;( wie es bei manchen Hostern gelegentlich vorkommen soll).

    Das heißt eigentlich, es macht Sinn alle Domains mit DNSSEC auszustatten. Da es bei netcup auf Wunsch ja kostenfrei ist: Wo hat netcup hier Probleme? Wie kann ich mir das vorstellen?


    Absolut empfehlenswert. DNSSEC mit netcup-Nameservern ist sehr unzuverlässig. Ich kann stattdessen (wie auch einige andere hier im Forum) deSEC empfehlen.

    Dadurch das der orangene Hoster ein katastrophales DNS-Interface hat, und DNS-Einstellungen dort nur beschränkt möglich sind, nutze ich dank DerRené seit ein paar Tagen desec.io. Allerdings sind dort ja "nur" 15 NS anlegbar, und wenn ich alle meine Domains mit DNSSEC ausstatten möchte, bräuchte ich wesentlich mehr. Klar könnte ich mir mehrere Accounts anlegen, aber ich persönlich finde es moralisch (für mich) nicht vertretbar einen mir kostenfrei zur Verfügung gestellten Dienst so "auszunutzen". Und ja, eine Spende habe ich schon getätigt, aber das "befreit" mich in meinen Augen ja nicht von der "15er-Regel".

    die Verbreitung von Änderungen schneller geht. Letztens hatte ich was geändert, wenige Minuten später

    Kann ich bestätigen. Kaum angelegt übernimmt netcup sofort die DNS-Einstellungen.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Welcher abfragende Client "will" denn automatisch DNSSEC? Also wie kann ich mir das vorstellen? Ich verwende einen ganz normalen Browser, und der wird das vermutlich nicht Standardmäßig abfragen?

    Das ist ja meistens nicht Sache des Browsers, sondern des Betriebssystems. Unter Linux ist es durchaus üblich, dass der systemd DNSSEC will bei der Auflösung.



    Rein aus Interesse: Welche Internetriesen sind das, und warum werfen wie so viel Geld in den Topf? Also welchen Nutzen ziehen sie daraus?

    Das kann man sich auf deren Webseite ansehen. IBM, Amazon, Github, Cisco, Chrome und Mozilla sind dabei, um nur einige zu nennen.

  • Aber so lange sich das wie mein LE Zertifikat jedes mal automatisch erneuert, kann mir das doch egal sein, oder? Ob jetzt täglich oder alle 90 Tage, automatisch ist automatisch..

    Es gibt Anwendungen, wo man sich für den automatischen Wechsel von Zertifikaten erstmal Skripte ausdenken muss - teilweise können die Anwendungen gar nicht per Skript mit einem Zertifikat bestückt werden.


    Darunter fallen z.B. Firewall Appliances, Windows IIS, Outlook Web und sonstige witzigen Business-Anwendungen, die auf eine TLS Verbindung setzen.

    Da ist man froh, wenn man nur 1x im Jahr die (Wildcard)Zertifikate austauschen muss. Durch die gesparte Arbeit lohnen sich die 100€ dann auch.


    Aber klar, bei allem was automatisch funktioniert, ist LE eine Option.


    Ich verstehe immer noch nicht genau was der Vorteil sein soll. LE Zertifikate können doch auch nicht manipuliert werden? Oder etwa doch?

    Nicht manipuliert per se, aber die Prüfung der Berechtigung eines Zertifikatantrages kann Angriffsvektoren eröffnen.

    Der Antragsteller benötigt bei der http-01 Challenge Kontrolle über einen Webserver, auf den die Domain zeigt.

    Bei dns-01 braucht der Antragsteller Kontrolle über den DNS Server.


    In beiden Fällen wird ein gültiges Zertifikat ausgestellt.

    Man kann zwar per DNS einstellen, dass nur bestimmte Zertifikatsaussteller dem Antrag stattgeben dürfen, wenn du jedoch LE irgendwo benutzt, kannst du per DNS nur LE komplett zulassen oder ablehnen - und nicht einschränken.


    Wo hat netcup hier Probleme? Wie kann ich mir das vorstellen?

    Bei DNSSEC gibt es im DNS-Server zwei Betriebsarten.

    Die erste Betriebsart ist die Online-Signatur - Antworten werden in Echtzeit signiert, immer dann wenn eine Anfrage reinkommt.

    Die zweite Betriebsart ist die Offline-Signatur. DNS Records werden vorher signiert und dann vom Server bei Bedarf ausgespielt.


    Dem CCP Verhalten nach zu urteilen, könnte hier eine offline Signatur zum Einsatz kommen.

    Das CCP verhält sich wie eine State-Machine (Zustandsautomat) und bildet den Soll-Zustand ab.

    Diesen Zustand müsste er mit der Domain-Registry (z.B. Denic für .de Domains) und den authoritativen DNS Servern abgleichen und aktiv synchronisieren.

    Diese Synchronisation schlägt allerdings fehlt, weil das CCP gar nicht als einzige "Quelle der Wahrheit" angesehen wird.

    Ist aber nur reine Spekulation.


    aber das "befreit" mich in meinen Augen ja nicht von der "15er-Regel".

    Ich meine gelesen zu haben, dass man auch lieb fragen kann.



    Rein aus Interesse: Welche Internetriesen sind das, und warum werfen wie so viel Geld in den Topf? Also welchen Nutzen ziehen sie daraus?

    Viele Daten, vorallem für Google. Google betreibt Certificate Transparency Logs - sowas kann man über https://crt.sh abfragen.

    Das ist ein Verzeichnis aller aktiven Websites - für eine Suchmaschine eigentlich ganz cool. Auch bei Geschichten wie OCSP fallen Daten an.

  • Zusätzlich ermöglicht DNSSEC die Nutzung von DANE/TLSA. Dann kann das TLS-Zertifikat der Webseite, des Mailservers, etc. über das signierte DNS überprüft werden (zusätzlich oder statt der CA).

    Und via DANE lassen sich auch OPENPGPKEY-/SMIMEA-DNS-Einträge absichern. So kann man beispielsweise über entsprechende Client-An­wen­dungen Zer­ti­fi­ka­te di­rekt aus dem DNS anfordern, wenn es darum geht, E-Mails zu verschlüsseln (externe Schlüsselserver hatten in der Vergangenheit hier Probleme bereitet, was Zu­ver­läs­sig­keit/Ver­trau­en an­be­langt), etwa via gpg2 -v --auto-key-locate clear,dane,nodefault --locate-key max.mustermann@example.org.

    Im Falle von GnuPG funktionierte das auch über ein "Web Key Directory (WKD)“, aber das involviert einen Webserver.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Gefällt mir 1