DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

Durch technische Massnahmen kann der anfragende Computer (z.B. Internet-Browser) somit erkennen, ob die Antwort beim Aufruf einer Internet-Adresse im DNS tatsächlich von jenem Server kommt, der bei uns als zuständig eingetragen ist. Gleichzeitig wird sichergestellt, dass diese Antwort auf dem Transport über das Internet nicht verändert wurde. Vereinfacht gesagt: DNSSEC ist eine Art Versicherung, die dem Internetnutzer garantieren soll, dass genau diejenige Website angezeigt wird, deren Adresse er eingegeben hat.

Lesen Sie unsere Broschüre für eine detailliertere Beschreibung von DNSSEC.

Eigentlich gibt es im Internet-Browser bereits eine Technologie zur sicheren Datenübertragung, die dem Benutzer die "richtige" Website garantiert: die SSL-Verschlüsselung. Dabei werden die Webseiten über so genannte Secure Sockets Layer (SSL) verschlüsselt. Im Browser ist dies mit einem Schlüsselsymbol gekennzeichnet. DNSSEC wurde nicht entworfen, um die SSL-Verschlüsselung abzulösen. Im Gegenteil, DNSSEC soll SSL ergänzen und verhindern, dass man auf einen falschen Server gelangt, noch bevor die Internetverbindung mit SSL gesichert wird.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 17062, geplante Gültigkeit bis 31. Dezember 2017

DS 17062 8 2 B00FD1F2898F1F4A6CF5026656A336A183FF5902F9B9601608099796331BDF0B

LI: Schlüssel 10804, geplante Gültigkeit bis 31. Dezember 2017

DS 10804 8 2 8C40443351C1CE396B4F6C6E728E0E77D819814E7F12ECFA9E2281675E259657

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)