DNS & Vertrauen
DNSSEC signiert DNS-Einträge, damit Resolver deren Authentizität und Integrität prüfen können.
Warum es wichtig ist
- Schützt vor Cache-Poisoning und gefälschten Antworten.
- Verhindert unbemerktes Manipulieren zwischen Authoritative-Server und Resolver.
Aktivierung
- DNSSEC beim DNS-Provider für die Zone aktivieren.
- DS beim Registry über den Registrar veröffentlichen.
- Schlüssel sicher rotieren; Signaturen und Laufzeiten überwachen.
Typische Stolpersteine
- Defekter DS nach Domain-Transfer.
- Ungesignierte/neue Records wegen veralteter Zonensignierung.
- Zeitabweichung oder abgelaufene Signaturen → Auflösungsfehler.
Kurzfassung
DNSSEC signiert DNS-Einträge und verhindert Spoofing. Zone signieren, den DS-Record beim Registrar veröffentlichen und Validierung am Resolver aktivieren.
5-Minuten-Checkliste
- KSK/ZSK mit modernem Algorithmus (z. B. ECDSA) erzeugen.
- Zone signieren und den DS-Record beim Register veröffentlichen.
- NSEC3 (ggf. opt-out) aktivieren, um Zone-Walking zu erschweren.
- Automatisierte Schlüsselwechsel planen und Signatur-Ablauf überwachen.
- Mit
dig +dnssecund einem externen Analyzer testen.