Warum DNSSEC wichtig ist!

[Michael Ströder]

On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
> Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
> Daten verschiedener Regierungsorganisationen und privater Unternehmen
> abgegriffen.
> (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)
> 
> Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
> möglich gewesen.

Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.

Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte
da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar.
Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC
RRs austauschen kann, dann ist doch nix gewonnen.

BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass
dann halt die Registrare und schlecht gewartete DNS-Server die
PKI-Schwachpunkte sind.

Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es
ist halt nicht der allein glücklich machende Ansatz und man muss es halt
genau wie bei X.509-basierter PKI *richtig* machen.

Ciao, Michael.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3992 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20190301/8b4d0e95/attachment-0001.bin>