Meine Server verfügen seit ein paar Wochen über lokale, nur vom DNS Root abhängige DNS-Resolver, die auch DNSSEC beherrschen. Der Vorteil: DNS-Ergebnisse lassen sich lokal cachen und man muss weniger auf externe Infrastruktur vertrauen. Das verbessert Datenschutz und Sicherheit. Die DNS-Anfragen werden direkt an einen der DNS-Rootserver gestellt und von dort aus aufgelöst. Der kleine DNS-Resolver “Unbound” ist perfekt als lokaler Resolver geeignet und mit wenigen Kommandos einsatzbereit:
apt install unbound Eigentlich könnte die Anleitung an dieser Stelle schon fast zu Ende sein, denn nach der Installation horcht der Resolver lokal bereits auf Port 53 und beherrscht auch schon DNSSEC.
DANE ist eine noch selten eingesetzte Technik, die Domainnamen mit einem oder mehreren TLS-/SSL-Zertifikaten verknüpft. Durch das DNS wird dem Client diktiert, welche Sicherheitszertifikate für eine Domain gültig sein sollen. Hintergrund ist, dass jede große, anerkannte CA der Welt (und davon gibt es hunderte) theoretisch für jede Domain gültige TLS-Zertifikate ausgeben kann. Dass das viel Spielraum für Manipulation und Missbrauch bietet, liegt auf der Hand. Indem man im DNS Informationen dazu ablegt, welche einzelnen Zertifikate oder Zertifizierungsstellen (CAs) für die Domain genutzt werden dürfen, kann man die Sicherheit signifikant verbessern.
Wie ihr vielleicht schon durch diesen Blog mitbekommen habt, war ich kürzlich auf der Suche nach einem neuen Provider für meine Domains. Mein bisheriger Domain-Hoster Hetzner bietet noch kein DNSSEC an, sodass ich mich nach einer Alternative umgesehen habe und zunächst auf das Unternehmen OVH aus Frankreich gestoßen bin. OVH hat allerdings beim Support ganz klar versagt und auch sonst konnten die Leistungen von OVH nicht überzeugen, sodass ich nach nur wenigen Stunden bei OVH erneut auf der Suche nach einem Hoster war, der mir DNSSEC anbietet.