Was ist DNSSEC?
DNSSEC bedeutet „Domain Name System Security Extensions“. Mit DNSSEC kann sichergestellt werden, dass die Antwort eines Nameservers echt und komplett ist. Durch die Signierung von DNS-Antworten werden manipulierte Daten erkannt und können vom Empfänger abgewiesen werden. Für die Signatur wird ein öffentlicher Schlüssel bei der Registry und ein privater Schlüssel auf dem Nameserver hinterlegt. Bei jeder DNS-Abfrage wird die Antwort mit der bei der Registry hinterlegten Signatur überprüft.
Wieso ist DNSSEC wichtig?
Ein Webbrowser (Chrome, Firefox, Safari usw.) zeigt nur das an, was er übermittelt bekommt. Diese Daten können aber auf dem Weg zum Computer manipuliert werden. Zum Beispiel ist es so möglich, dass ein Besucher sein Passwort auf einer anderen Seite eingibt, als er ursprünglich wollte. Gerade im öffentlichen WLAN (selbst wenn diese mit einem Passwort geschützt sind) besteht die Chance, dass DNS-Antworten manipuliert werden, um Benutzer auf falsche Server zu leiten. Auch ein Virus auf dem Computer kann solche Manipulationen auslösen. Selbst wenn die Seite genau gleich aussieht, kann sich dahinter ein anderer Webserver befinden.
Mit DNSSEC garantieren Website-Betreiber ihren Besuchern, dass solche DNS-Manipulationen nicht vorkommen können. Zusammen mit einem SSL-Zertifikat wird die Website so viel sicherer und vertrauenswürdiger.
Wie kann DNSSEC aktiviert werden?
Bei hosttech ist die Aktivierung von DNSSEC in wenigen Schritten möglich. Wichtig ist, dass sowohl die Domain bei hosttech registriert ist, als auch die Nameserver von hosttech verwendet werden (standardmäßig, wenn bei uns Domains registriert werden).
- Im myhosttech Kundencenter einloggen (https://www.myhosttech.eu)
- Navigation zu „Domaincenter“
- Die gewünschte Domain suchen
- Auf „DNS Records“ klicken
- Oben „DNSSEC“ einschalten
- Danach die beiden generierten Schlüssel anzeigen lassen (DS Record anzeigen)
- Zurück im Domaincenter auf „DNSSEC Einstellungen“ klicken
- Hier nun die beiden Schlüssel über „Key hinzufügen“ erfassen (mit den Daten aus Schritt 6)
- Danach auch hier „DNSSEC aktivieren“
- „Speichern“
Was ist gerade passiert? In Schritt 4 – 6 wurden die Schlüssel auf dem Nameserver hinterlegt. Dies signiert die DNS-Antworten zwar bereits, nützt aber nichts, wenn die Registry keine Informationen dazu hat. Dafür werden in Schritt 8 – 10 nun die öffentlichen Schlüssel an die Registry gesendet. Ab sofort können DNS-Antworten also überprüft werden.
Die Schweiz als schlechtes Vorbild
DNSSEC sollte wann immer möglich eingesetzt werden. Trotzdem nutzen erst rund 70’000 .ch-Domains (Quelle: SWITCH, Stand: 05.02.2019) die Funktion. Das sind nur etwa 3% aller registrierten .ch-Domains. Andere Länder erreichen hier deutlich bessere Werte, wie der Beitrag der Tagesschau vom 5. Februar 2019 zeigt.