Die Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung bestehender Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen ergänzen.
Dadurch kann man verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat.
DNSSEC wurde als Mittel gegen das sog. „Cache Poisoning“ entwickelt. Es sichert die Datenübertragung der „Resource Records“ durch digitale Signaturen ab.
DNSSEC sichert die Authentizität der Informationen durch eine digitale Signatur ab. Um eine sehr sichere Authentifizierung zu gewährleisten, muss der Public Key einer Zone (bzw. dessen Hash) in den zentralen Server, der den Namen auflösen soll, manuell eingebracht werden. Da normalerweise jede Zone einen anderen Schlüssel besitzt, der sich zudem regelmäßig ändert, kann die Schlüsselverwaltung sehr aufwändig werden. Das bedeutet einen erhöhten Aufwand für DNS-Provider. Weiter Hinweise zur Umsetzung vom BSI.
Mit Hilfe eines Browser-Addons kann man sich die DNSSEC-und TLSA-Unterstützung anzeigen lassen. Gängige Browser bieten diese Option (DNSSEC/TLSA Validator, DNSSECValidatorPlugin).
DNS-Einträge werden mit einer kryptografischen Signatur versehen. Mit dieser Signatur wird überprüft, ob eine DNS-Antwort korrekt und unverändert ist.
DNS-Einträge werden mit einer kryptografischen Signatur versehen. Mit dieser Signatur wird überprüft, ob eine DNS-Antwort korrekt und unverändert ist. Der Inhaber einer DNS-Zone (Domain) muss sich aktiv dazu entscheiden, seine Zone mit DNSSEC zu signieren.
Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Einträgen wie A, AAAA, MX, CNAME usw. gespeichert. Durch Überprüfung der zugehörigen Signatur können Sie oder Ihre Dienstleister verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde – im Gegensatz zu einem gefälschten Eintrag, der bei einem Man-in-the-Middle-Angriff injiziert wurde.
Recht ähnlich wie HTTPS bietet DNSSEC eine zusätzliche Sicherheitsebene, indem es authentifizierte Antworten auf einem ansonsten unsicheren Protokoll ermöglicht.
HTTPS verschlüsselt den Traffic, sodass niemand, der sich in der Leitung befindet, Ihre Internet-Aktivitäten ausspionieren kann. DNSSEC signiert lediglich die Antworten, sodass Fälschungen erkannt werden können. DNSSEC löst also ein reales Problem, ohne eine Verschlüsselung einbauen zu müssen.
Unser Managed Mail Service bietet eine sehr gute Grundlage um sicher mit DNSSEC Mails zu versenden. Fragen Sie gerne nach wie wir Ihnen helfen können.