https://wiki.ixheim.de/index.php?action=history&feed=atom&title=DNSSEC-Schl%C3%BCsselwechsel 2026-05-15T14:31:22Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=DNSSEC-Schl%C3%BCsselwechsel&diff=59715&oldid=prev 2025-03-13T16:32:35Z

<p>Die Seite wurde neu angelegt: „= Einleitung = Der Wechsel von DNSSEC-Schlüsseln ist ein essenzieller Bestandteil der sicheren Verwaltung von signierten DNS-Zonen. Ohne eine regelmäßige Sc…“</p> <p><b>Neue Seite</b></p><div>= Einleitung =<br /> Der Wechsel von DNSSEC-Schlüsseln ist ein essenzieller Bestandteil der sicheren Verwaltung von signierten DNS-Zonen. Ohne eine regelmäßige Schlüsselrotation besteht die Gefahr, dass ein kompromittierter oder schwacher Schlüssel weiterhin verwendet wird, was die Integrität des DNS-Systems gefährdet. Dieser Artikel erklärt die Gründe für den Schlüsselwechsel und zeigt, wie dieser in BIND9 umgesetzt wird.<br /> <br /> = Warum müssen DNSSEC-Schlüssel gewechselt werden? =<br /> Es gibt mehrere Gründe, warum DNSSEC-Schlüssel regelmäßig erneuert werden sollten:<br /> <br /> - '''Kryptoanalyse''': Angreifer können mit zunehmender Zeit und Rechenleistung versuchen, die verwendeten Schlüssel zu brechen.<br /> - '''Schlüssellecks''': Falls ein privater Schlüssel unabsichtlich veröffentlicht oder kompromittiert wird, kann die Signatur gefälscht werden.<br /> - '''Sicherheitsrichtlinien''': Viele Sicherheitsstandards (z. B. NIST, BSI) empfehlen eine regelmäßige Rotation von kryptografischen Schlüsseln.<br /> - '''Algorithmus-Updates''': Falls ein Schwachpunkt in einem Verschlüsselungsalgorithmus gefunden wird, müssen betroffene Schlüssel erneuert werden.<br /> <br /> = Unterschied zwischen ZSK- und KSK-Wechsel =<br /> DNSSEC verwendet zwei verschiedene Arten von Schlüsseln:<br /> <br /> - '''Zone Signing Key (ZSK)''': Signiert die einzelnen DNS-Records und wird häufiger gewechselt.<br /> - '''Key Signing Key (KSK)''': Signiert den ZSK und wird seltener gewechselt, da er in der Vertrauenskette als Trust Anchor dient.<br /> <br /> Empfohlene Wechselintervalle:<br /> <br /> - ZSK: Alle '''3 bis 12 Monate'''<br /> - KSK: Alle '''1 bis 5 Jahre'''<br /> <br /> = DNSSEC-Schlüsselwechsel mit BIND9 =<br /> <br /> == Neuen ZSK generieren ==<br /> '''ZSK erzeugen'''<br /> *dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com<br /> <br /> == Neuen ZSK in die Zone einbinden ==<br /> '''Schlüssel in Zonendatei einbinden'''<br /> *echo &quot;$INCLUDE Kexample.com.+008+NEUE_ID.key&quot; &gt;&gt; /var/cache/bind/example.com<br /> <br /> == Zone mit dem neuen ZSK signieren ==<br /> '''Zone neu signieren'''<br /> *dnssec-signzone -A -N INCREMENT -o example.com -t /var/cache/bind/example.com<br /> <br /> == BIND9 neu starten ==<br /> '''BIND9 neustarten'''<br /> *systemctl restart bind9<br /> <br /> == Neuen KSK generieren und übernehmen ==<br /> Falls auch der KSK gewechselt werden soll, ist zusätzlich ein Update des Trust Anchors erforderlich:<br /> '''Neuen KSK erzeugen'''<br /> *dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE example.com<br /> <br /> '''Neuen DS-Record generieren'''<br /> *dnssec-dsfromkey -2 -f Kexample.com.+008+NEUE_ID.key example.com<br /> <br /> Dieser DS-Record muss in die übergeordnete Zone eingetragen werden.<br /> <br /> = Fazit =<br /> Ein regelmäßiger Wechsel der DNSSEC-Schlüssel ist notwendig, um die Sicherheit und Integrität der DNS-Signaturen zu gewährleisten. Während der ZSK häufiger gewechselt wird, bleibt der KSK in der Regel länger bestehen. Die richtige Implementierung eines Schlüsselwechsels gewährleistet einen reibungslosen Betrieb ohne Ausfälle oder Validierungsfehler.</div>

Thomas.will