Suchen

Definition DNSSEC Was ist DNSSEC?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

DNSSEC soll die Authentizität und Integrität der im Domain Name System übertragenen Daten sicherstellen, indem Resource Records mit digitalen Zertifikaten abgesichert werden. Das in mehreren RFCs standardisierte Verfahren basiert auf privaten und öffentlichen Schlüsseln zum Signieren und Prüfen der DNS-Informationen. Ziel von DNSSEC ist es, Manipulationen der Namensauflösung auszuschließen und die Schwachstelle der ungeschützten DNS-Übertragung zu beheben.

Firmen zum Thema

Die Domain Name System Security Extensions (DNSSEC) sorgen für Authentizität und Integrität der im Domain Name System übertragenen Informationen.
Die Domain Name System Security Extensions (DNSSEC) sorgen für Authentizität und Integrität der im Domain Name System übertragenen Informationen.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung DNSSEC steht für Domain Name System Security Extensions. Es handelt sich um einen in mehreren RFCs (Requests for Comments) spezifizierten Internetstandard zur Sicherstellung der Integrität und Authentizität der im Domain Name System übertragenen Informationen. Die maßgeblichen RFCs sind RFC 4033, RFC 4034, RFC 4035 und RFC 5155. Die Standards erweitern das DNS-Protokoll um sicherheitsbezogene Verfahren und ermöglichen es, DNS-Informationen digital zu signieren. Zum Einsatz kommen öffentliche und private Schlüssel und Mechanismen der Public Key Infrastructure (PKI).

Durch DNSSEC ist sichergestellt, dass die DNS-Daten weder manipuliert wurden noch von einer anderen Quelle stammen. Private Schlüssel werden verwendet, um die Resource Records digital zu signieren. Mit dem öffentlichen Schlüssel lässt sich die Signatur von den Empfängern der Daten prüfen. Damit die Sicherheitsmechanismen der Domain Name System Security Extensions funktionieren, muss DNSSEC auf Seiten des Anbieters der DNS-Informationen und beim anfragenden Clientsystem unterstützt werden. Die im Jahr 1999 im RFC 2535 veröffentlichte erste Version von DNSSEC war aufgrund einiger Mängel nicht großflächig einsetzbar. Erst die im Jahr 2005 veröffentlichten RFCs beseitigten diese Mängel. Auf Root-Ebene des Internets startete DNSSEC im Jahr 2010. Mittlerweile sind circa 90 Prozent der Top-Level-Domains signiert.

Motivation für Domain Name System Security Extensions

Das Domain Name System ist eine wichtige Komponente des Internets. Es sorgt dafür, dass die zur Übertragung der Daten zwingend benötigten und zu einem bestimmten Domainnamen zugehörigen IP-Adressen auflösbar sind. Das ursprüngliche DNS-Protokoll liefert die DNS-Informationen als ungeschützten und unverschlüsselten Text aus und besitzt selbst keine Sicherheitsmechanismen. Manipulationen der Nachrichten sind daher nicht auszuschließen. Der Empfänger einer DNS-Antwort kann nicht feststellen, ob die Nachricht tatsächlich von dem DNS-Server stammt, den er angefragt hat. DNSSEC schließt diese Schwachstelle. DNS-Anfragen und -Antworten sind kryptografisch abgesichert. Die DNS-Antworten sind signiert und können vom empfangenden Client auf Integrität und Authentizität geprüft werden. Die Vertraulichkeit der Daten ist jedoch nicht vorgesehen, da keine Verschlüsselung der übertragenen Informationen stattfindet.

Grundsätzliche Funktionsweise von DNSSEC

Der DNS-Server, der eine abzusichernde Zone verwaltet, unterzeichnet seine gesendeten Resource Records mithilfe seines nur im bekannten privaten Schlüssel. Für jede Zone existieren eigene Zonenschlüssel, jeweils bestehend aus privatem und öffentlichem Schlüssel. DNSSEC spezifiziert mit dem RRSIG einen neuen Resource-Record-Typ. Er enthält die Signatur des jeweiligen DNS-Eintrags. Die verwendeten Schlüssel haben eine bestimmte Gültigkeitsdauer und sind mit einem Start- und Enddatum versehen. Resource Records können mehrfach mit verschiedenen privaten Schlüsseln unterschrieben sein, beispielsweise um rechtzeitig ablaufende Schlüssel zu ersetzen. Die anfragenden Clients prüfen die Signaturen mithilfe des allgemein bekannten öffentlichen Schlüssels der DNS-Zone. Ist eine Überprüfung erfolgreich, sind Manipulationen der Antwort ausgeschlossen und die Informationen stammen tatsächlich von der angefragten Quelle.

(ID:46193445)

Über den Autor