DNSSEC
Was ist DNSSEC?
DNSSECEine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können.
DNSSEC (Domain Name System Security Extensions) fügt DNS-Einträgen kryptografische Signaturen hinzu, sodass Resolver nachweisen können, dass eine Antwort aus der legitimen Zone stammt und unterwegs nicht verändert wurde. Jede Zone signiert ihre Einträge mit einem privaten Schlüssel und veröffentlicht den zugehörigen öffentlichen Schlüssel in DNSKEY-Einträgen, während über DS-Einträge bei jeder Delegierung eine Vertrauenskette von der Root-Zone aus aufgebaut wird. Validierende Resolver weisen Antworten mit fehlerhaften oder fehlenden Signaturen zurück und vereiteln so DNS-Cache-Poisoning und On-Path-Spoofing. DNSSEC bietet keine Vertraulichkeit und muss mit DoH oder DoT kombiniert werden, um Anfragen vor Beobachtern zu verbergen.
● Beispiele
- 01
Eine Bank signiert ihre Zone, damit Resolver gefälschte A-Einträge aus einem vergifteten Cache ablehnen.
- 02
Registries für Top-Level-Domains veröffentlichen DS-Einträge, um die Vertrauenskette delegierter Zonen zu verankern.
● Häufige Fragen
Was ist DNSSEC?
Eine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DNSSEC?
Eine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können.
Wie schützt man sich gegen DNSSEC?
Schutzmaßnahmen gegen DNSSEC kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DNSSEC?
Übliche alternative Bezeichnungen: DNS-Sicherheitserweiterungen.