FUNKTIONSWEISE VON DNSSEC

Die Internet Engineering Task Force (IETF) arbeitet schon seit über 15 Jahren an einem praktikablen Standard für Domain Name System Security Extensions (DNSSEC). DNSSEC schützt die Internet-Community vor gefälschten DNS-Daten durch den Einsatz öffentlicher Schlüsselkryptografie zum digitalen Signieren der Daten autoritativer Zonen, wenn diese ins System gelangen. Anschließend wird das System als Ziel validiert. Weitere Informationen über öffentliche Schlüsselkryptografie.


Die digitale Signierung garantiert Benutzern, dass die Daten von der angegebenen Quelle stammen und während der Übertragung nicht modifiziert wurden. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Diese Funktionen sind entscheidend, um das Vertrauen ins Internet aufrechtzuerhalten.

Bei DNSSEC hat jede Zone ein öffentliches/privates Schlüsselpaar. Der öffentliche Schlüssel der Zone wird über DNS veröffentlicht, während der private Schlüssel sicher aufbewahrt und idealerweise offline gespeichert wird. Der private Schlüssel einer Zone signiert individuelle DNS-Daten in dieser Zone und erstellt so digitale Signaturen, die auch über DNS veröffentlicht werden.

DNSSEC verwendet ein strenges Vertrauensmodell und diese Kette des Vertrauens verläuft von den übergeordneten bis zu den untergeordneten Zonen. Die Zonen der höheren Ebenen (übergeordnete Zonen) signieren – oder bürgen für – die öffentlichen Schlüssel der Zonen der unteren Ebenen (untergeordnete Zonen). Die autoritativen Namenserver für diese Zonen können von Registraren, ISPs, Webhosting-Unternehmen oder Websitebetreibern (Registranten) selbst verwaltet werden.

Wenn ein Endbenutzer auf eine Website zugreifen will, fordert ein Stub-Resolver innerhalb des Betriebssystems des Benutzers von einem rekursiven Namenserver die IP-Adresse der Website an. Nachdem der Server diesen Eintrag anfordert, fordert er auch den mit der Zone verknüpften DNSSEC-Schlüssel an. Anhand dieses Schlüssels kann der Server verifizieren, dass der IP-Adresseneintrag, den er empfängt, mit dem Eintrag des autoritativen Namenservers identisch ist.

Wenn der rekursive Namenserver bestimmt, dass der Adresseintrag vom autoritativen Namenserver gesendet und bei der Übertragung nicht geändert wurde, löst er den Domainnamen auf und der Benutzer kann auf die Website zugreifen. Dieser Vorgang wird als Validierung bezeichnet. Wenn der Adresseintrag geändert wurde oder nicht von der angegebenen Quelle stammt, verweigert der rekursive Namenserver dem Benutzer den Zugriff auf die betrügerische Adresse. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Als Folge dieses Vorgangs sind DNS-Abfragen und -Antworten vor Man-in-the-middle(MITM)-Angriffen und den Arten von Betrug geschützt, die Internetnutzer zu Phishing- oder Pharming-Seiten umleiten.

BENÖTIGEN SIE WEITERE INFORMATIONEN?