Mehr als 800 verifizierte Domains im DFN-CERT Portal

21.11.2022

Seit Einführung der ersten Phase der neuen Security Operations des DFN-Vereins im Juli 2022 haben handlungsberechtigte Personen die Möglichkeit, relevante Domains und für diese Domains zuständige Kontakte für ihre Einrichtung im DFN-CERT Portal zu hinterlegen. Das DFN-CERT versendet daraufhin über die automatischen Warnmeldungen Informationen zu möglichen Sicherheitsvorfällen, die sich auf Basis von Domain-Daten zielgerichteter zustellen lassen, als es bisher auf Basis von IP-Adressen der Fall war. So ist die Zuordnung von Sicherheitsvorfällen zu den verantwortlichen Kontakten bei Webservern, die Malware ausliefern oder als Kontroll-Server für andere Malware missbraucht werden, über die IP-Adresse oft möglich. Bei Sicherheitsvorfällen mit E-Mail-Adressen als alleinigem Identifikationsmerkmal wurden die Abbildungen der Domains über IP-Adressen bis Mitte 2022 ausschließlich manuell durch das DFN-CERT vorgenommen. Dadurch konnten die für die E-Mail-Dienste zuständigen Personen der Einrichtungen nicht immer direkt erreicht werden.

Die Domains können im DFN-CERT-Portal (im Reiter „Domains“) einzeln oder als Liste hinzugefügt werden. Im DFN registrierte Domains werden auf Wunsch und Knopfdruck automatisch prozessiert, wobei für jede einzelne Domain initial ein manueller Verifizierungsschritt erforderlich ist. Angelehnt an die Vorgaben des CA/Browser-Forums zur Verifizierung von Domains wird im folgenden Prozess eine Bestätigungsanfrage an die E-Mail-Adresse aus dem DNS SOA Record oder an eine von fünf Standardadressen der Domain (hostmaster@, admin@ usw.) versendet. Nach Aufruf des in der E-Mail enthaltenen Links bleibt die Domain für ein Jahr verifiziert und die Sicherheitsmeldungen des DFN-CERT werden den zugeordneten Kontakten zugestellt. Die zu Ablauf der Verifizierungsdauer jedes Jahr erforderlichen neuen Anfragen erstellt das System automatisch rechtzeitig.

Bis Mitte November 2022 hatten bereits über 95 Einrichtungen etwa 1517 Domains im DFN-CERT-Portal eingetragen, von denen 848 bereits verifiziert wurden. Durch die automatisierte Verarbeitung von Sicherheitsvorfällen, die die verifizierten Domains betreffen, können zukünftig beispielsweise Informationen zu kompromittierten E-Mail-Accounts deutlich schneller und zielgerichteter zugestellt werden.