DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren. Praktisch jede Transaktion im Internet beginnt mit einer DNS-Anfrage, sei es das Aufrufen einer Webseite, der Versand von E-Mails, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen falschen Server umgeleitet wird.

DNSSEC bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authorities) verschlüsselt und garantiert an den korrekten Ziel-Server zugestellt werden. In Kombination mit Technologien wie TLS werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die Kommunikation im Internet verwendet weitestgehend das DNS, um Informationen nachzuschlagen. Da das DNS-Protokoll aber noch aus den Anfängen des Internets stammt, wurde beim Entwurf nicht auf den Sicherheitsaspekt geachtet. DNSSEC sichert ein sonst unsicheres DNS-Protokoll ab und verbessert somit die Sicherheit der gesamten Kommunikation im Internet.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .ch-Domain-Namen mit DNSSEC

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 11896, geplante Gültigkeit bis 16. Dezember 2019

DS 11896 13 2 24EE6537B1C452D3AEBF439DCF74024717054152DA7F206D5FCBA1A90F70711F

LI: Schlüssel 43587, geplante Gültigkeit bis 16. Dezember 2019

DS 43587 13 2 B14D4CF3551DB52CF024E85CECA6AC7D0D78356E95C67AA6CD75257D1CAB268F

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)