DNSSEC
Domain Name System Security Extensions –
Mehr Vertrauen für Ihre .de Domain
DNSSEC schützt DNS-Antworten vor Manipulation. So kommen Menschen sicher zu den richtigen Webseiten und Diensten – vom E-Mail-Server bis zur Unternehmens-App.
Das Domain Name System (DNS) ist die Grundlage des Internets: Es übersetzt leicht merkbare Domainnamen wie beispiel.de in die dazugehörigen IP-Adressen. So findet Ihr Computer die richtige Website oder den richtigen Server.
Doch das klassische DNS ist nicht gegen Manipulation geschützt. Angreifer können Daten unterwegs verändern, ohne dass es auffällt. Hier setzt DNSSEC (Domain Name System Security Extensions) an: Es sorgt dafür, dass DNS-Daten unverfälscht und echt bleiben.
Warum DNSSEC wichtig ist
Stellen Sie sich vor: Sie rufen das Online-Banking Ihrer Bank auf. Ohne Schutz könnten Kriminelle die DNS-Antwort so manipulieren, dass Ihr Computer eine gefälschte IP-Adresse für die eigentlich aufgerufene Domain Ihrer Bank erhält und Sie unbemerkt auf einer gefälschten Seite landen. Dieses Risiko nennt man Cache Poisoning. Mit DNSSEC wird verhindert, dass gefälschte Adressen untergeschoben werden. Sie können sicher sein, dass der Name Ihrer Bank-Domain auch wirklich zur echten Bank führt.
Wichtig: DNSSEC garantiert nur, dass die Daten unverändert ankommen. Ob die hinterlegten Daten tatsächlich korrekt oder seriös sind, prüft es nicht.
So funktioniert DNSSEC
Digitale Signaturen
DNSSEC arbeitet mit digitalen Signaturen. Jede DNS-Antwort wird mit einer kryptografischen Signatur versehen. So lässt sich überprüfen:
- ob die Daten von einer berechtigten Quelle stammen
- ob die Daten auf dem Weg verändert wurden
Dafür wird ein Schlüsselpaar verwendet:
- Der private Schlüssel bleibt geheim beim Betreiber.
- Der öffentliche Schlüssel wird im DNS veröffentlicht. Mit ihm können Signaturen überprüft werden.
Chain of Trust
Damit nicht jeder einzelnen Zone separat vertraut werden muss, gibt es eine Chain of Trust (Vertrauenskette), die an der Wurzel des DNS beginnt und über Subdomains bis zu einzelnen Domains reicht. So genügt es, dem obersten Schlüssel zu vertrauen.
DNSSEC-Schlüssel und -Signaturen auswerten
Um DNSSEC-Schlüssel und -Signaturen auszuwerten, ist ein validierender Resolver notwendig. Sie können auf dem System des Internetnutzers laufen (PC, Laptop etc.), vom Internetprovider oder spezialisierten Dienstleistern zur Verfügung gestellt werden.
DNSSEC für .de-Domains
So profitieren Sie als Domaininhaber und Internetnutzer
Für Internetnutzer
- Automatischer Check: Signatur-Prüfung durch einen validierenden Resolver und Schutz vor manipulierten DNS-Antworten.
- Gut geschützt: Schutz vor Manipulationen im DNS und Sicherheit, dass Sie die eingegebene Domain erreichen.
- Quellenüberprüfung: Anhand der verwendeten Signatur lässt sich prüfen, ob die Daten tatsächlich von einer dazu berechtigten Quelle gesendet wurden.
Für Domaininhaber
- Vertrauen sichern: Mit DNSSEC schaffen Sie zusätzliches Vertrauen für Ihre Webpräsenz und Ihre Online-Angebote und stärken Ihre Marke.
- Einrichtung: Kontaktieren Sie Ihren Provider und beauftragen Sie den Zusatzschutz durch Signierung mit DNSSEC für Ihre Domain.
- Providerwechsel: Ein standardisiertes Verfahren – der Operator-Wechsel – sorgt für den reibungslosen Übergang der Schlüsselverwaltung.
DNS-Abfrage ohne DNSSEC
DNS-Abfrage mit DNSSEC
Entwicklung von DNSSEC
DNSSEC ist eine standardisierte Protokollerweiterung, an der die Internet Engineering Task Force (IETF) über zehn Jahre gearbeitet hat. Die Grundlagen wurden 2005 in den RFCs 4033, 4034 und 4035 veröffentlicht.
Für das sogenannte Zone Walking – durch DNSSEC-Einträge konnten alle Domains in einer Zone sichtbar gemacht werden – wurden mit Unterstützung von DENIC Lösungen entwickelt:
- NSEC3 (RFC 5155), die Verschleierung von Einträgen, sodass Zone Walking wirkungslos bleibt.
- Dynamische NSEC-Records (RFC 4470/4471), die technisch möglich, aber kaum im Einsatz sind.
