Einführung
Domain Name Security Extensions (DNSSEC) sind eine Erweiterung des DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen.
Begriffe
- Key Signing Key (KSK) - Unterschreibt Zone Signing Key (ZSK)
- Zone Signing Key (ZSK) - Unterschreibt einzelne Einträge des Zonefiles
Der Public-Anteil der beiden Keys steht als DNSKEY als Record in der Zone selbst.
- DNSKEY - Record Typ für KSK und ZSK. Es können (und müssen) gleichzeitig mehrere ZSK und KSK hinterlegt sein.
- RRSIG - Signatur eines Records
- DS - Delegation Signer Record - Enthält den Digest des KSK Public Keys
Einrichtung bei Hetzner
Wir halten DNSSEC für ein nützliches Feature um das Sicherheitsniveau im DNS-Bereich zu erhöhen.
Die Implementierung von DNSSEC erfordert allerdings weitreichende Anpassungen und Erweiterungen an mehreren Systemen. So muss von unseren Administrationsoberflächen über die Schnittstellen zu den jeweiligen Domain-Vergabestellen bis hin zu unseren Nameservern DNSSEC integriert werden.
Leider können wir Ihnen daher DNSSEC zum aktuellen Zeitpunkt nicht anbieten. Sobald es zu diesem Thema Neuigkeiten gibt, werden wir Sie über unseren Newsletter informieren.
Stand: 01.10.14
Update (12.04.2017):
Bisher wurden bereits grundlegende Voraussetzungen für den Betrieb von DNSSEC geschaffen. Um DNSSEC anbieten zu können, sind aber weitere umfangreiche Implementierungen notwendig. Aus diesem Grund ist eine zeitnahe Einführung aus aktueller Sicht nicht in Aussicht.
Update (17.10.2018):
Der Artikel entstand in einer sehr frühen Planungsphase, wobei die effiziente Umsetzung noch geprüft werden musste. Bei dieser Prüfung stellten wir fest, dass die Implementierung sehr aufwendig wäre und eine geringe Nachfrage zu erwarten ist. Unter diesen Gegebenheiten haben wir uns gegen das Feature DNSSEC entschieden. Sollte die Nachfrage jedoch steigen, sind wir bereit, diese Entscheidung zu überdenken.