DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

Durch technische Massnahmen kann der anfragende Computer (z.B. Internet-Browser) somit erkennen, ob die Antwort beim Aufruf einer Internet-Adresse im DNS tatsächlich von jenem Server kommt, der bei uns als zuständig eingetragen ist. Gleichzeitig wird sichergestellt, dass diese Antwort auf dem Transport über das Internet nicht verändert wurde. Vereinfacht gesagt: DNSSEC ist eine Art Versicherung, die dem Internetnutzer garantieren soll, dass genau diejenige Website angezeigt wird, deren Adresse er eingegeben hat.

Lesen Sie unsere Broschüre für eine detailliertere Beschreibung von DNSSEC.

Eigentlich gibt es im Internet-Browser bereits eine Technologie zur sicheren Datenübertragung, die dem Benutzer die "richtige" Website garantiert: die SSL-Verschlüsselung. Dabei werden die Webseiten über so genannte Secure Sockets Layer (SSL) verschlüsselt. Im Browser ist dies mit einem Schlüsselsymbol gekennzeichnet. DNSSEC wurde nicht entworfen, um die SSL-Verschlüsselung abzulösen. Im Gegenteil, DNSSEC soll SSL ergänzen und verhindern, dass man auf einen falschen Server gelangt, noch bevor die Internetverbindung mit SSL gesichert wird.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .ch-Domain-Namen mit DNSSEC

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 58852, geplante Gültigkeit bis 26. Dezember 2018

DS 58852 8 2 A14E7E746D70F96F0AA20B326C5903F294AACB2C8C720B73CA369FE611F565C4

LI: Schlüssel 13066, geplante Gültigkeit bis 26. Dezember 2018

DS 13066 8 2 BAF289902CF37AE48AEB2231596385A7CC3C65ACAA8E5FE9E5294E0C488D5B12

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)