DNSSEC

DNSSEC ist eine Erweiterung des DNS-Protokolls, die die Verwendung von Domänennamen sicherer macht. DNSSEC schützt das DNS vor unerwünschten Manipulationen und dient als Basis für weitere Sicherheitsmaßnahmen wie DANE.

Was ist DNS?

Die Aufgabe des Domain Name Systems (DNS) besteht darin, Domainnamen in IP-Adressen umzuwandeln (und umgekehrt), so dass es sich um eine Art Internet-Adressbuch handelt. Clients, die beispielsweise zu www.yourdomain.com navigieren, konsultieren einen Nameserver, der die entsprechende IP-Adresse der URL sucht und an den Client weiterleitet. Auch E-Mail und andere Internetprotokolle verwenden dieses System.

Was ist DNSSEC?

Das ursprüngliche DNS-System war als einfaches Verteilungssystem gedacht und enthielt praktisch keine Sicherheitsmaßnahmen. DNSSEC ist eine Gruppe von Erweiterungen, die dem ursprünglichen DNS eine Sicherheitsebene hinzufügen. Alle Domainnamen können mit dieser zusätzlichen Sicherheit durch die Partei, mit der die Domain registriert ist (der Registrator), versehen werden. Clients, die diese Erweiterung unterstützen, erhalten die Name-Server-Adressinformationen mit einer digitalen Signatur. Dies verhindert, dass der Verkehr zwischen der IP-Adresse und dem Domainnamen beeinflusst wird.

Wie funktioniert es?

DNSSEC steht für "Domain Name System Security Extensions". Das Protokoll fügt den Informationen, die vom Nameserver an den Client zurückgegeben werden, einen öffentlichen Schlüssel hinzu. Der Registrar der Domäne platziert den öffentlichen Schlüssel der Domäne eine Ebene höher in der DNS-Hierarchie. Für .nl-Domains sind dies die Nameserver des SIDN, die als sogenannter "Trust-Anchor" dienen. Der Client verwendet den Vertrauensanker, um zu überprüfen, ob der mit den Informationen vom Nameserver gesendete öffentliche Schlüssel tatsächlich mit dem öffentlichen Schlüssel übereinstimmt, unter dem die Domäne dem Vertrauensanker bekannt ist. Auf diese Weise wird eine sogenannte Vertrauenskette über verschiedene Ebenen der DNS-Hierarchie aufgebaut.

DNSSEC ermöglicht es, als Client die Herkunft der gesendeten DNS-Daten zu überprüfen, eine verifizierte Rückmeldung zu erhalten, wenn die Überprüfung ergibt, dass die öffentlichen Schlüssel nicht übereinstimmen, und eine Überprüfung der Integrität der gesendeten Daten durchzuführen. Damit kann überprüft werden, ob die übermittelten Informationen nicht von Dritten verändert wurden.

Server und Clients, die DNSSEC verwenden, können einfach mit Systemen zusammenarbeiten, die diese Erweiterung noch nicht haben, aber in diesen Fällen werden die DNS-Informationen nicht verschlüsselt.

Nützliche Links

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.