Grundlegendes

• DNSSEC schafft ein sicheres Domain Name System mit einer zusätzlichen Sicherheitsebene.
• Dies wird erreicht, indem kryptografische Signaturen zu bestehenden DNS-Einträgen hinzugefügt werden.
• Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Eintragstypen wie A, AAAA, MX, CNAME usw. gespeichert.
• Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt (Authentizität) und unterwegs nicht verändert wurde (Integrität).
• Wichtig: DNSSEC schützt vor DNS-Spoofing/Cache-Poisoning (Manipulation), aber NICHT vor dem Mitlesen der DNS-Abfrage (keine Vertraulichkeit/Verschlüsselung).

Neue DNS-Eintragstypen

• RRSIG: Enthält eine kryptographische Signatur für ein Set von DNS-Einträgen (RRSet).
• DNSKEY: Enthält einen öffentlichen Signierschlüssel (ZSK oder KSK).
• DS (Delegation Signer): Enthält den Hash eines DNSKEY-Eintrags; wird in der übergeordneten Zone (Parent) hinterlegt, um die Vertrauenskette zu bilden.
• NSEC und NSEC3: Ermöglichen den sicheren Nachweis der Nicht-Existenz eines Eintrags (verhindert Denial-of-Existence-Angriffe).
• CDNSKEY und CDS: Kind-Zonen nutzen diese zur automatisierten Anfrage von DS-Updates in der Vater-Zone.

Keys & Konzepte

• Zone-Signing Keys (ZSK): Signieren die eigentlichen Daten (A, MX, etc.) innerhalb einer Zone.
• Key-Signing Keys (KSK): Signieren lediglich den DNSKEY-Eintrag (der die ZSKs enthält); der KSK-Hash wird als DS-Record an den Parent übergeben.
• Chain of Trust: Eine lückenlose Kette von digitalen Unterschriften von der Root-Zone (.) über die TLD (z.B. .de) bis zur Domain.
• Trust Anchor: Der öffentliche Schlüssel der Root-Zone, dem der Resolver von vornherein vertraut.

Quellen

https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/ https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Sicher-surfen-und-kommunizieren/DNSSEC/dnssec_node.html