Fragen & Antworten zu DNSSEC

Kann ich meine von DENICdirect verwaltete Domain mit DNSSEC signieren lassen?

Unser Service DENICdirect bietet aktuell nicht die Möglichkeit, Schlüsselmaterial für Domains mit Nameserver-Einträgen zu hinterlegen. Domains mit "nsentry"-Einträgen werden, da die entsprechenden Records direkt in der .de-Zone vorliegen und dort autoritativ sind, automatisch von DNSSEC erfasst und mit entsprechenden, von DENIC erzeugten Signaturen versehen.

Weitere Informationen finden Sie unter https://www.denic.de/domains/de-domains/registrierung/nameserver-und-nsentry-eintraege/.

Wie erkenne ich, ob eine Domain durch DNSSEC-Signierung geschützt ist?

Wenn Sie selbst einen validierenden Resolver betreiben, sind Sie selbst grundsätzlich in der Lage, Signaturen für DNSSEC-Domains zu validieren. Die Details dazu sind Resolver-spezifisch.

Alternativ setzt Ihr Internet Service Provider einen validierenden Resolver ein. In diesem Falle wird dieser Resolver als gefälscht erkannte Daten unterdrücken können und gar nicht erst an Sie weiterleiten. Da ein validierender Resolver auch Daten von nicht-signierten Domains weiterleitet, ist für den Nutzer nicht erkennbar, ob die Daten von einer signierten oder einer nicht-signierten Domain stammen.  

Wie finde ich einen Provider, der DNSSEC unterstützt?

Setzen Sie sich bitte direkt mit Ihrem Domain-Provider in Verbindung um herauszufinden, ob er DNSSEC unterstützt.

Was passiert mit „nsentry“-Domains?

„nsentry"-Domains werden, da die entsprechenden Records direkt in der .de-Zone vorliegen und dort autoritativ sind, automatisch von DNSSEC erfasst und mit entsprechenden, von DENIC erzeugten Signaturen versehen.

Mit welchen technischen Parametern wird DNSSEC für die .de-Zone eingesetzt?

Neben dem 2048bit "Key Signing Key" kommt ein 1024bit "Zone Signing Key" zum Einsatz, der nach jeweils fünf Wochen mit dem sog. Pre-Publish-Verfahren gewechselt wird. Beide Schlüssel erzeugen Signaturen nach dem standardisierten RSA/SHA256-Verfahren, in Übereinstimmung mit RFC 5702.

Die KSK-Signaturen haben eine 3-wöchige Gültigkeit, die ZSK-Signaturen allerdings nur eine 1-wöchige Gültigkeit. Die Signierung der .de-Zone erfolgt mit Opt-Out unter Verwendung von NSEC3-Records nach RFC 5155.

Was ändert sich durch DNSSEC für mich als Domaininhaber?

Jeder Domaininhaber hat die Möglichkeit, seine Domain durch eine DNSSEC-Signierung zu schützen. Durch die Signierung ist für den Nutzer der Webseite erkennbar, ob die übertragenen Daten tatsächlich den ursprünglich eingepflegten Daten entsprechen.

Die Signierung einer Domain kann über den Internet Service Provider erfolgen oder durch den Domaininhaber selbst. Im Falle der Signierung durch den Provider – Voraussetzung ist, er unterstützt DNSSEC – ist dieser für die Schlüsselerzeugung, Signierung der Zonendaten, Neusignierung vor Ablauf der Signaturgültigkeit sowie den gelegentlich notwendigen Schlüsselwechsel zuständig.

Erfolgt die Signierung durch den Domaininhaber, weil er gleichzeitig die dafür notwendigen Nameserver betreibt, erhält der Provider den öffentlichen Schlüssel des Inhabers, um ihn an die passende Registrierungsstelle (im Falle von .de-Domains an die DENIC eG) weiterzugeben. Bei dieser Variante kennt nur der Domaininhaber den privaten Schlüssel.

Was ändert sich durch DNSSEC für mich als Internetnutzer?

Um von DNSSEC zu profitieren, benötigt man einen validierenden Resolver, der die durch DNSSEC gelieferte Zusatzinformation auswerten kann.

Sofern Sie nicht selbst einen validierenden Resolver betreiben, profitieren Sie daher nur, wenn Ihr Internet Service Provider dies für Sie tut. Beim Aufruf von z.B. Webseiten leitet das auf dem Rechner installierte Betriebssystem automatisch die DNS-Anfragen an die vom jeweiligen Internet Service Provider festgelegten DNS-Server. Damit findet die Überprüfung der signierten DNS-Daten direkt auf dessen Server statt. Nur dann können Manipulationen erkannt und die gefälschten Daten unterdrückt werden.

Was passiert mit einer DNSSEC-signierten Domain, wenn sie in den TRANSIT gegeben wird?

Gibt ein DENIC-Mitglied die Verwaltung einer Domain auf und gibt die Domain in den TRANSIT, wird DENIC eventuell vorhandenes Schlüsselmaterial aus der Registrierungsdatenbank entfernen.

Ohne verwaltendes Mitglied können Änderungen zu den Domaindaten, inkl. Änderungen des Schlüsselmaterials, nicht an DENIC übertragen werden. Damit sind die Voraussetzungen für eine Schlüsselverwaltung nicht mehr gegeben. Zur Vermeidung von Validierungsfehlern wird der DS-Record gestrichen, und die Zone ist damit als unsigniert markiert.

Welchen Schutz bietet DNSSEC?

Für Internetnutzer ist es wichtig, darauf vertrauen zu können, dass z. B. die angezeigte Webseite auch tatsächlich derjenigen entspricht, die er aufrufen wollte (eingegeben Domain).

Dazu ist es notwendig, den Pfad von der Anfrage (Eingabe der Domain) bis zur Antwort (Anzeige der Webseite) abzusichern. Einen Beitrag dazu leistet DNSSEC (Domain Name Security Extensions). Es bietet eine Quellenauthentisierung für das Domain Name System (DNS), das heißt, es sichert den Pfad zwischen DNS-Servern und validierenden DNS-Klienten. Anhand der verwendeten Signatur lässt sich die Echtheit prüfen, d.h. ob die Daten aus der autoritativen Zone stammen. Gleichzeitig schützt die Integritätssicherung davor, dass die DNS-Daten auf dem Transportweg verfälscht werden.

Ob die ursprünglich eingepflegten Daten einer Webseite inhaltlich korrekt oder harmlos sind oder ob die aufgerufene Webseite eine Fälschung ist, die z.B. über einen in einer E-Mail enthaltenen Link erreicht wird (so genanntes Phishing), kann mit DNSSEC nicht erkannt werden. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse lassen sich damit nicht feststellen.

Was ist DNSSEC?

Domain Name Security Extensions (DNSSEC) sind eine Erweiterung des DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im Internet – wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing – zu schließen.

Im herkömmlichen DNS geht eine Anwendung davon aus, dass die Antwort auf eine DNS-Anfrage unversehrt ist und von der richtigen Quelle stammt. Dieses Vertrauen ist nicht immer berechtigt, denn in der Vergangenheit hat es vereinzelt Fälle gegeben, bei denen gezielt Fehlinformationen in DNS-Caches eingebracht wurde (sog. Cache-Poisoning). Dieser Angriff ist als potenzielles Risiko bereits in den neunziger Jahren erkannt und später in RFC 3833 dokumentiert worden. Die Internet Engineering Task Force (IETF) hat auf diese – zunächst theoretische – Bedrohung reagiert und schließlich im März 2005 die drei RFCs RFC 4033RFC 4034 und RFC 4035 veröffentlicht. Diese Trilogie ist auch unter dem Namen "DNSSECbis" bekannt. Eine wichtige spätere Ergänzung ist das sog. NSEC3 (RFC 5155), mit dem die unerwünschte Aufzählung des Zoneninhaltes - etwa aller registrierten .de-Domains – verhindert werden kann.

Wie funktioniert DNSSEC?

Mittels DNSSEC (Domain Name Security Extensions) werden Daten anhand von kryptografisch gesicherten Signaturen geprüft. Diese werden über die zu schützenden Daten errechnet und zusammen mit den Daten an den Client übertragen.

Die Prüfung der Daten erfolgt im Client oder in dem davor liegenden Resolver gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese Schlüssel können am einfachsten im Domain Name System (DNS) hinterlegt und abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich, da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert erfolgt. Lediglich der für den Beginn der Kette notwendige Schlüssel (der Key der Root-Zone) wird im Client fest hinterlegt oder per Konfiguration eingepflegt.