Innovation

Domain Name System Security Extension (DNSSEC)

End-to-End-Authentifizierung des Internets

Bereitstellung des Protokolls für ein sicheres Internet

Die Internet Engineering Task Force (IETF) arbeitet schon seit über 15 Jahren an einem praktikablen Standard für Domain Name System Security Extensions (DNSSEC). DNSSEC schützt die Internet-Community vor gefälschten DNS-Daten durch den Einsatz öffentlicher Schlüsselkryptografie zum digitalen Signieren der Daten autoritativer Zonen, wenn diese ins System gelangen. Anschließend wird das System als Ziel validiert. Weitere Informationen über öffentliche Schlüsselkryptografie.

Die digitale Signierung garantiert Benutzern, dass die Daten von der angegebenen Quelle stammen und während der Übertragung nicht modifiziert wurden. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Diese Funktionen sind entscheidend, um das Vertrauen ins Internet aufrechtzuerhalten.

Bei DNSSEC hat jede Zone ein öffentliches/privates Schlüsselpaar. Der öffentliche Schlüssel der Zone wird über DNS veröffentlicht, während der private Schlüssel sicher aufbewahrt und idealerweise offline gespeichert wird. Der private Schlüssel einer Zone signiert individuelle DNS-Daten in dieser Zone und erstellt so digitale Signaturen, die auch über DNS veröffentlicht werden.

DNSSEC verwendet ein strenges Vertrauensmodell und diese Kette des Vertrauens verläuft von den übergeordneten bis zu den untergeordneten Zonen. Die Zonen der höheren Ebenen (übergeordnete Zonen) signieren – oder bürgen für – die öffentlichen Schlüssel der Zonen der unteren Ebenen (untergeordnete Zonen). Die autoritativen Namenserver für diese Zonen können von Registraren, ISPs, Webhosting-Unternehmen oder Websitebetreibern (Registranten) selbst verwaltet werden.

Verisign DNSSEC Analyzer App

Diese mobile App bietet Informationen zu Problemen in Verbindung mit Ihrer DNSSEC-Einrichtung.

Wenn ein Endbenutzer auf eine Website zugreifen will, fordert ein Stub-Resolver innerhalb des Betriebssystems des Benutzers von einem rekursiven Namensserver die IP-Adresse der Website an. Nachdem der Server diesen Eintrag anfordert, fordert er auch den mit der Zone verknüpften DNSSEC-Schlüssel an. Anhand dieses Schlüssels kann der Server verifizieren, dass der IP-Adresseneintrag, den er empfängt, mit dem Eintrag des autoritativen Namensservers identisch ist.

Wenn der rekursive Namensserver bestimmt, dass der Adresseintrag vom autoritativen Namensserver gesendet und bei der Übertragung nicht geändert wurde, löst er den Domainnamen auf und der Benutzer kann auf die Website zugreifen. Dieser Vorgang wird als Validierung bezeichnet. Wenn der Adresseintrag geändert wurde oder nicht von der angegebenen Quelle stammt, verweigert der rekursive Namensserver dem Benutzer den Zugriff auf die betrügerische Adresse. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Als Folge dieses Vorgangs sind DNS-Abfragen und -Antworten vor Man-in-the-middle(MITM)-Angriffen und den Arten von Betrug geschützt, die Internetnutzer zu Phishing- oder Pharming-Seiten umleiten.