Was ist DNSSEC?

Die Abkürzung DNSSEC steht für „Domain Name System Security Extensions“. Es handelt sich um mehrere Internetstandards, die das DNS um Sicherheitsmechanismen zur Quellenauthentifizierung erweitern.

Das DNS-Protokoll, das für die Auflösung von Domainnamen auf IP-Adressen zuständig ist, verfügt nämlich selbst über keine Mechanismen, um die übermittelten Daten gegen Manipulation auf dem Übertragungswege oder in den durchlaufenden Systemen (z.B. Server oder Cache) zu schützen. Eine Verfälschung der Daten kann daher weder identifiziert noch vermieden werden. Diese Lücke sollen die Domain Name System Security Extensions schließen.

Bei Verwendung von DNSSEC kommt die öffentliche Schlüsselkryptografie zum digitalen Signieren der Daten zum Einsatz. Es wird ein Schlüsselpaar (privater und öffentlicher Schlüssel) generiert. Der private Teil ist geheim und nur dem Besitzer bekannt. Der öffentliche Teil wird im DNS publiziert und mit ihm kann eine Unterschrift, die mit dem privaten Schlüssel signiert wurde, überprüft und validiert werden.

DNS-Abfrage ohne DNSSEC

DNS-Abfrage ohne DNSSECvergrößernDNS-Abfrage ohne DNSSEC

Wie kann man sich die Funktionweise vorstellen?

Wenn eine Domain in den Webbrowser eingegeben wird, ist der Prozess bis zum Anzeigen der Webseite mit einem Frage- und Antwortprozess verbunden. Ist die entsprechende Domain mittels DNSSEC gesichert, kann der Empfänger (Browser, Nameserver) anhand der in der DNS-Antwort eingebetteten Signatur und des kryptografischen Schlüsselpaares prüfen, ob die erhaltenen Antworten/Informationen auch wirklich von der angegebenen Quelle stammen.

DNSSEC verhindert somit, dass Dritte eine falsche IP-Adresse einschleusen können, hinter der sich z.B. eine betrügerische Website verbirgt (Cache Poisoning). Es wird sichergestellt, dass die angeforderten Informationen den Nutzer unverändert erreichen.

DNS-Abfrage mit DNSSEC

DNS-Abfrage mit DNSSECvergrößernDNS-Abfrage mit DNSSEC

Was DNSSEC nicht leisten kann

Zu beachten ist, dass mit DNSSEC nicht erkannt werden kann, ob die ursprünglich eingestellten Inhalte inhaltlich korrekt bzw. harmlos sind oder ob die aufgerufene Webseite eine Fälschung ist, die z.B. über einen in einer Phishing-E-Mail enthaltenen Link aufgerufen werden kann.

Vertraulichkeit ist bei DNSSEC ebenfalls nicht vorgesehen die – DNS-Daten werden nicht verschlüsselt.

Kurz & bündig

DNSSEC ist eine Protokollerweiterung, die das DNS um die Validierung der Datenquelle ergänzt, um so eine mögliche Manipulation der Daten bei der Übertragung zu erkennen. Es wird dabei mit der Public-Key-Technologie gearbeitet. DNSSEC bietet einen wirksamen Schutz gegen z.B. Cache Poisoning.

dd24 bietet den Service der DNSSEC-Signierung kostenlos an; auch für eigene Nameserver. DNSSEC kann jedoch nur dann für eine Domain aktiviert werden, wenn die entsprechende TLD dies unterstützt. Liste mit DNSSEC-fähigen TLDs .

War dieser Artikel hilfreich?

Helfen Sie uns noch besser zu werden und bewerten Sie diese Seite!