Domain Name System Security Extensions ist ein standardisiertes Kommunikationsprotokoll zur Behebung von Sicherheitsproblemen im Zusammenhang mit dem DNS. Zunächst eine kurze Erinnerung daran, was das DNS ist.
Wie funktioniert das DNS?
Das DNS ermöglicht dem Internetnutzer den Zugriff auf eine Website durch die Eingabe eines Domainnamens in seinem Webbrowser. Der Browser „löst“ dann diesen Domainnamen auf, um die IP-Adresse des Webservers, der diese Website hostet, zu erhalten und anzuzeigen. Dies wird als „DNS-Auflösung“ bezeichnet.
Funktionsweise von DNSSEC:
Um die Integrität der DNS-Auflösung zu gewährleisten, baut DNSSEC eine Vertrauenskette auf, die bis zur Wurzel des DNS zurückverfolgt werden kann. Die Datensicherheit wird mithilfe eines Schlüsselmechanismus (KSK für Key Signing Key & ZSK für Zone Signing Key) erzeugt, der die DNS-Einträge seiner eigenen Zone mit einer digitalen Signatur versieht. Die öffentlichen KSK werden dann zur Archivierung an die entsprechende Registry gesendet; dadurch, dass die Registry selbst über DNSSEC mit dem Root-Server verbunden ist, entsteht die Vertrauenskette. Jede übergeordnete DNS-Zone garantiert bei der Signierung ihrer untergeordneten Zonen die Authentizität der Schlüssel.
