Hetzner - DokuWiki

DNSSEC

Inhaltsverzeichnis

DNSSEC

Domain Name Security Extensions (DNSSEC) sind eine Erweiterung des DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen.

Begriffe

  • Key Signing Key (KSK) - Unterschreibt Zone Signing Key (ZSK)
  • Zone Signing Key (ZSK) - Unterschreibt einzelne Einträge des Zonefiles

Der Public-Anteil der beiden Keys steht als DNSKEY als Record in der Zone selbst.

  • DNSKEY - Record Typ für KSK und ZSK. Es können (und müssen) gleichzeitig mehrere ZSK und KSK hinterlegt sein.
  • RRSIG - Signatur eines Records
  • DS - Delegation Signer Record - Enthält den Digest des KSK Public Keys

Einrichtung bei Hetzner

Wir halten DNSSEC für ein nützliches Feature um das Sicherheitsniveau im DNS-Bereich zu erhöhen.

Die Implementierung von DNSSEC erfordert allerdings weitreichende Anpassungen und Erweiterungen an mehreren Systemen. So muss von unseren Administrationsoberflächen über die Schnittstellen zu den jeweiligen Domain-Vergabestellen bis hin zu unseren Nameservern DNSSEC integriert werden.

Leider können wir Ihnen daher DNSSEC zum aktuellen Zeitpunkt nicht anbieten. Sobald es zu diesem Thema Neuigkeiten gibt, werden wir Sie über unseren Newsletter informieren.

Stand: 01.10.14

Update (12.04.2017):

Bisher wurden bereits grundlegende Voraussetzungen für den Betrieb von DNSSEC geschaffen. Um DNSSEC anbieten zu können, sind aber weitere umfangreiche Implementierungen notwendig. Aus diesem Grund ist eine zeitnahe Einführung aus aktueller Sicht nicht in Aussicht.



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.