DNSSEC
Kurzdefinition
Domain Name System Security Extensions: Kryptografische Signaturen zur Absicherung von DNS-Antworten gegen Manipulationen.
Ausführliche Erklärung
DNSSEC (DNS Security Extensions) schützt vor DNS-Spoofing und Cache-Poisoning, indem es DNS-Antworten kryptografisch signiert. Jede Zone signiert ihre Einträge (RRSIG), und über eine Vertrauenskette (DS-Records bei der übergeordneten Zone bis zur Root) können Resolver die Echtheit prüfen. DNSSEC garantiert Integrität und Authentizität, jedoch keine Vertraulichkeit – die Antworten bleiben unverschlüsselt. Fehlerhafte Schlüsselrollover sind eine häufige Ausfallursache und erfordern sorgfältiges Key-Management.
Beispiel
Ein validierender Resolver verwirft eine manipulierte Antwort, weil die mitgelieferte RRSIG-Signatur nicht zum hinterlegten DNSKEY der Zone passt.
Im ausführlichen Fachartikel erklären wir DNSSEC mit Architektur, Praxisbeispielen und Best Practices im Detail: