Grundlegendes

• DNSSEC schafft ein sicheres Domain Name System mit einer zusätzlichen Sicherheitsebene.
• Dies wird erreicht indem kryptografische Signaturen zu bestehenden DNS-Einträgen hinzugefügt werden.
• Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Eintragstypen wie A, AAAA, MX, CNAME usw. gespeichert.
• Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde
• Es dient zu Schutz von Man-in-the-Middle-Angriffen.

DNS-Eintragstypen hinzu

• RRSIG: enthält eine kryptographische Signatur
• DNSKEY: enthält einen öffentlichen Signierschlüssel
• DS: enthält den Hash eines DNSKEY-Eintrags
• NSEC und NSEC3: für die explizite Anerkennung der Nicht-Existenz eines DNS-Eintrags
• CDNSKEY und CDS: für eine untergeordnete Zone zur Anfrage von Aktualisierungen des DS-Eintrags/der DS-Einträge in der übergeordneten Zone.