Warum

Unten finden Sie einige Links zu Beschreibungen einiger bekannter Vorfälle, die DNSSEC wahrscheinlich hätte verhindern können.

• "Cache-poisoning attack snares top Brazilian bank"
• "Eircom reveals ‘cache poisoning’ attack by hacker led to outages"
• "DNS cache poisonings foist malware attacks on Brazilians"
• "Cache Poisoning of Mail Handling Domains Revisited"
• "Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security"

Unten folgt ein Zitat aus der zuletzt genannten Forschungsveröffentlichung:

Die Sicherheit von E-Mails ist wie die vieler anderer Protokolle intrinsisch mit der Sicherheit der DNS-Auflösung verflochten. Anstatt das SMTP-Protokoll anzugreifen, kann ein aktiver Netzwerkangreifer die DNS- Einträge eines Ziel-Mailservers spoofen, um SMTP-Verbindungen zu einem Server umzuleiten, der unter der Kontrolle des Angreifers steht. [...] Wir finden Hinweise darauf, dass 178.439 von 8.860.639 (2,01%) öffentlich zugänglichen DNS-Servern ungültige IPs oder MX-Einträge für eine oder mehrere dieser Domains bereitgestellt haben.

Nutzungsstatistiken

• .nl-Statistiken zu DNSSEC von SIDN Labs by SIDN Labs
• DNSSEC-Validierungsmessung von APNIC by APNIC
• DNSSEC-Bereitstellungsbericht

Hintergrundinformationen

• FAQ zu DNSSEC von SIDN von SIDN
• Deploy360 zu DNSSEC vom ISOC
• DNSSEC.net
• Wikipedia zu DNSSEC
• Knowledge-Sharing and Instantiating Norms for DNS and Naming Security (KINDNS)

Specifikationen

• RFC 4033: DNS Security Introduction and Requirements
• RFC 4034: Resource Records for the DNS Security Extensions
• RFC 4035: Protocol Modifications for the DNS Security Extensions
• RFC 8624: Algorithm Implementation Requirements and Usage Guidance for DNSSEC
• RFC 9276: Guidance for NSEC3 Parameter Settings