
Noch mehr Sicherheit
DNSSEC ist eine Maßnahme, die den sogenannten Domain Name Service (DNS) gegenüber Mißbrauch stärkt. Durch Einsatz dieser Technologie wird abgesichert, dass beim Aufruf einer Webseite auch wirklich die echte Webseite angezeigt wird und nicht durch einen Hacker die DNS-Abfragen verändert werden und so im Hintergrund zu einer falschen Seite umgeleitet werden kann. Dem sogenannten DNS Spoofing wird somit ein Riegel vorgeschoben.
DNSSEC wurde geschaffen, um auch mit allen anderen DNS-Servern und -Abfragern im Internet abwärtskompatibel zu sein. Es ist also dafür ausgelegt, einen Mischbetrieb unterschiedlicher Systeme zu ermöglichen.
Um DNSSEC zu konfigurieren, muss vorab geprüft werden, ob Ihr DNS-Anbieter DNSSEC bereits unterstützt (nicht alle DNS-Registrare können diese Funktion anbieten).Für jede Zone, die man sichern möchte, muss ein Schlüsselpaar generiert werden: ein Zonensignaturschlüssel (ZSK) und einen Schlüssel zum Signieren (KSK). Der ZSK wird verwendet, um die Einträge innerhalb der Zone zu signieren, während der KSK verwendet wird, um den DNSKEY-Eintrag zu signieren, der den ZSK enthält. Nachdem man die Zonendateien mit dem ZSK signiert und den DNSKEY-Eintrag, der beide Schlüssel enthält, in Ihrer Zonendatei veröffentlicht hat, muss man den KSK bei der Domänenregistrierungsstelle oder übergeordneten Zone registrieren.
Abschließend müssen einige Tests durchgeführt werden, um zu garantieren, dass die DNSSEC Konfiguration mit allen eingesetzten Services problemlos funktioniert. Dafür stehen Tools wie beispielsweise der DNSSEC Debugger zur Verfügung: https://dnssec-debugger.verisignlabs.com/