DNSSEC (Domain Name System Security Extensions) erweitert das DNS um zusätzliche Sicherheitsmechanismen, die die Authentizität und Integrität der Daten gewährleisten. Der Client kann dadurch sicherstellen, dass die erhaltenen Zonendaten auch tatsächlich mit denen am Server des Erstellers identisch sind.
Die meisten Internetdienste verlassen sich auf eine zuverlässig funktionierende und korrekte DNS-Auflösung. Das dabei verwendete Protokoll besitzt jedoch kein Verfahren zum Schutz seiner Inhalte. An dieser Stelle kommt DNSSEC ins Spiel: Es sichert die Übertragung der Resource Records durch digitale Signaturen ab.
Ein Beispiel: Wenn man im Browser die Domain des Netbankings eingibt, so kann DNSSEC sicherstellen, dass man die Verbindung nur mit der von der Bank vergebenen IP-Adresse für den Webserver aufbauen kann. Das System verhindert, dass Dritte eine falsche IP-Adresse einschleusen (Cache Poisoning) können, um beispielsweise auf eine Phishing-Seite umzuleiten, die dann möglicherweise das Passwort ausspioniert.
Speziell für sehr sensible Branchen wie Banken, Versicherungen oder auch Webshop-Betreiber bietet DNSSEC einen zusätzlichen Schutz und bewahrt die Kunden auf einer zusätzlichen Ebene vor Missbrauch im Internet.
Wie funktioniert DNSSEC?
DNSSEC basiert auf der Signierung von DNS-Einträgen durch kryptografische Schlüssel. Für jede Zone gibt es eigene Schlüssel-Paare, welche aus einem öffentlichen und einem privaten Schlüssel bestehen. Die Zone selbst wird mit dem geheimen, privaten Schlüssel signiert, der öffentliche Schlüssel hingegen wird in der Zone selbst zur Verifizierung publiziert.
Funktionsweise von DNSSEC
Grundprinzip ist die Bildung einer Vertrauenskette (die sogenannte „Chain of Trust“) zwischen den DNS-Servern. Hierbei wird bei der betroffenen Domain im Root-Server der Registry der oben angesprochene digitale Schlüssel hinterlegt. Die Domain wird als DNSSEC-signiert gekennzeichnet und die DNS-Daten anschließend über den digitalen Schlüssel verifiziert und somit korrekt weitergegeben.
DNSSEC bei internex nutzen!
Bei internex können Sie den DNSSEC-Schutz kostenlos nutzen. DNSSEC-Signierungen sind aktuell für folgende TLDs verfügbar:
.at, .co.at, .or.at, .de, .com, .net, .org, .biz, .eu,
.se, .ch, .li, .be, .co, .com.co, .net.co, .nom.co
Nutzen Sie DNSSEC und machen Sie die Datenübertragung im Internet sicherer! Profitieren Sie von unserem umfangreichen Know-How und setzen Sie mit internex schon heute auf die Technologie von morgen!
Bei Fragen zu DNSSEC können Sie sich gerne an die Experten von internex wenden: support [at] internex.at