• ADACOR
  • FILOO
  • EXOLINK
Filoo - IT Security

DNSSEC, DANE und SSL bei Filoo

Wir haben heute mal ein wenig Zeit investiert, um die Sicherheit unserer Webseiten und anderer Dienste noch weiter zu erhöhen und auf den aktuellsten Stand der Technik zu bringen.

DNSSEC

DNSSEC bedeutet in Langform „DNS Security Extensions“ und bezeichnet einige Erweiterungen für das Domain Name System, um das Protokoll kryptographisch zu härten und DNS-Antworten (also etwa die Antwort „www.filoo.de hat die IP-Adresse 93.190.64.40 und die IPV6-Adresse 2a00:12c0:1:64::5dbe:8084“) mit einer nachvollziehbaren digitalen Signatur zu versehen.

Für Sie als Nutzer und Kunde bedeutet das, daß, wann immer eine DNS-Antwort mit DNSSEC erweitert wurde, Sie davon ausgehen können, daß sie auch wirklich von unseren DNS-Servern stammt und nicht von einem Dritten – z.B. einem Geheimdienst oder einem Hacker.

Wir haben die folgenden Maßnahmen implementiert, um DNSSEC bei Filoo einzuführen.

DNSSEC-Unterstützung auf DNS-Resolvern

Unsere DNS-Resolver (für Kunden, die einen VServer oder einen Rootserver bei uns haben) unterstützen nun DNSSEC und prüfen DNS-Antworten auf gültige Signaturen. Somit ist es für unsere Housing-, VServer- und Rootserverkunden möglich, von der erhöhten Sicherheit durch DNSSEC zu profitieren.

DNSSEC für filoo.de

Die Domain www.filoo.de (Haupt-Webseite) ist nun DNSSEC-abgesichert – sofern Sie einen DNSSEC-fähigen Nameserver nutzen, erhalten Sie eine signierte Antwort für die Domain und können sicher sein, daß die Webseite so bei Ihnen ankommt, wie wir sie ausgeliefert haben.

DANE / TLSA

Unter DANE (DNS-based Authentication of Named Entities) versteht man eine Methode, um mittels DNS-Einträgen bestimmte Informationen zu übermitteln und deren Nachprüfbarkeit zu garantieren. Haupt-Einsatzzweck für DANE ist die Verankerung von SSL-Zertifikaten im DNS, um beweisen zu können, daß ein SSL-Zertifikat zu einer bestimmten Adresse gehört.

Und das funktioniert so: Wenn Ihr Browser eine sichere Verbindung zu www.filoo.de öffnen will, dann wird von unserem Webserver das digitale Zertifikat für www.filoo.de zurückgegeben. Da aber das Zertifikat gefälscht sein könnte (z.B über eine DNS-Attacke und eine Umleitung), fragt Ihr Browser die für www.filoo.de zuständigen Nameserver nach einem sogenannten TLSA-Eintrag. Dieser DNS-Eintrag enthält eine Prüfsumme des Zertifikats. Stimmen die Prüfsumme des TLSA-Eintrags und die des vorgezeigten Zertifikats von www.filoo.de überein, so kann der Browser sicher sein, daß alles OK ist.

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren


Damit auch ein gefälschter DNS-Server (DNS Spoofing) nicht in der Lage ist, falsche TLSA-Einträge zurückzuliefern, werden alle Einträge durch DNSSEC signiert. Damit entsteht eine lückenlose Kette kryptographisch nachprüfbarer Antworten.

SSL-Only

Die Webseite https://www.filoo.de, unsere Webmailer und andere kundenrelevante Webseiten sind ab sofort nur noch per HTTPS erreichbar. Sollten Sie noch Seiten finden, die per HTTP erreichbar sind, wenden Sie sich bitte vertrauensvoll an unseren Support.

Bleiben Sie up to date und abonnieren Sie den zweiwöchigen ITQ-Newsletter. Dazu tragen Sie bitte unten Ihre E-Mail ein.

Tags: , , ,

Verwandte Artikel