DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren. Praktisch jede Transaktion im Internet beginnt mit einer DNS-Anfrage, sei es das Aufrufen einer Webseite, der Versand von E-Mails, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen falschen Server umgeleitet wird.

DNSSEC bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authorities) verschlüsselt und garantiert an den korrekten Ziel-Server zugestellt werden. In Kombination mit Technologien wie TLS werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die Kommunikation im Internet verwendet weitestgehend das DNS, um Informationen nachzuschlagen. Da das DNS-Protokoll aber noch aus den Anfängen des Internets stammt, wurde beim Entwurf nicht auf den Sicherheitsaspekt geachtet. DNSSEC sichert ein sonst unsicheres DNS-Protokoll ab und verbessert somit die Sicherheit der gesamten Kommunikation im Internet.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .ch-Domain-Namen mit DNSSEC

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)