DNSSEC

Auch bekannt als: DNS-Sicherheitserweiterungen

Eine Reihe von DNS-Erweiterungen, die Zonendaten kryptografisch signieren, damit Resolver die Echtheit und Integrität von DNS-Antworten überprüfen können.

DNSSEC (Domain Name System Security Extensions) ergänzt DNS-Einträge um Public-Key-Signaturen. Ein validierender Resolver kann damit bestätigen, dass eine Antwort tatsächlich aus der autoritativen Zone stammt und unterwegs nicht verändert wurde. Jede Zone veröffentlicht einen DNSKEY und signiert ihre Resource Records mit RRSIG; DS-Einträge in der übergeordneten Zone bilden eine Vertrauenskette bis zur signierten Root. DNSSEC schützt vor Cache-Poisoning, On-Path-Manipulation und Antworten von gefälschten Resolvern. Es verschlüsselt Anfragen jedoch nicht — Vertraulichkeit erfordert DoH oder DoT. Dennoch ist DNSSEC die Grundlage für eine vertrauenswürdige Namensauflösung und für aufbauende Protokolle wie DANE.

Beispiele

Ein validierender Resolver lehnt eine gefälschte Antwort für bank.example ab, weil das RRSIG nicht gegen den veröffentlichten DNSKEY verifiziert.
Eine Registry rotiert ihren ZSK und veröffentlicht neue DS-Einträge in der Elternzone, um die Vertrauenskette aufrechtzuerhalten.

DNSSEC

Beispiele

Verwandte Begriffe

DNS-Spoofing

DNS-Cache-Poisoning

DNS over HTTPS (DoH)

DNS over TLS (DoT)

Public-Key-Infrastruktur (PKI)

Digitale Signatur

Definition

Beispiele

Verwandte Begriffe

DNS-Spoofing

DNS-Cache-Poisoning

DNS over HTTPS (DoH)

DNS over TLS (DoT)

Public-Key-Infrastruktur (PKI)

Digitale Signatur