DNSSEC einfach erklärt

DNSSEC einfach erklärt

DNSSEC signiert DNS-Einträge, damit Resolver deren Authentizität und Integrität prüfen können.

Warum es wichtig ist

• Schützt vor Cache-Poisoning und gefälschten Antworten.
• Verhindert unbemerktes Manipulieren zwischen Authoritative-Server und Resolver.

Aktivierung

• DNSSEC beim DNS-Provider für die Zone aktivieren.
• DS beim Registry über den Registrar veröffentlichen.
• Schlüssel sicher rotieren; Signaturen und Laufzeiten überwachen.

Typische Stolpersteine

• Defekter DS nach Domain-Transfer.
• Ungesignierte/neue Records wegen veralteter Zonensignierung.
• Zeitabweichung oder abgelaufene Signaturen → Auflösungsfehler.

Kurzfassung

DNSSEC signiert DNS-Einträge und verhindert Spoofing. Zone signieren, den DS-Record beim Registrar veröffentlichen und Validierung am Resolver aktivieren.

5-Minuten-Checkliste

• KSK/ZSK mit modernem Algorithmus (z. B. ECDSA) erzeugen.
• Zone signieren und den DS-Record beim Register veröffentlichen.
• NSEC3 (ggf. opt-out) aktivieren, um Zone-Walking zu erschweren.
• Automatisierte Schlüsselwechsel planen und Signatur-Ablauf überwachen.
• Mit dig +dnssec und einem externen Analyzer testen.

Resources