Domain Name System Security Extensions (DNSSEC) sorgt dafür, dass die Daten einer Webseite nicht manipuliert werden. Es überprüft das Domain Name System (DNS). Durch DNSSEC werden Angriffe über das Internet wie DNS Spoofing und Cache Poisoning verhindert.
DNSSEC für Sicherheit
DNSSEC verwendet ein asymmetrisches Verschlüsselungsverfahren (Public-Key-Kryptosystem), bei dem Client wie Server keinen gemeinsamen geheimen Schlüssel austauschen, sondern auf ein Schlüsselpaar zurückgreifen, das aus einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key) besteht.
Mit dem öffentlichen Schlüssel lässt sich die Signatur von den Empfängern der Daten prüfen. Clients können die Signatur verifizieren und damit die Authentizität feststellen. Der private Schlüssel ist mit DNS-Informationen und einer digitalen Signatur versehen. Damit lässt sich sicherstellen, dass die DNS-Daten weder manipuliert wurden, noch aus einer anderen Quelle stammen.
So funktioniert DNSSEC
Der DNS-Server unterzeichnet mit einem nur ihm bekannten privaten Schlüssel. Die verwendeten Schlüssel haben eine bestimmte Gültigkeitsdauer und sind mit einem Start- und Enddatum versehen. Die gesendeten Daten (auch Resource Records genannt) können mehrfach mit mehreren privaten Schlüsseln unterschrieben sein, etwa damit ein ablaufender Schlüssel rechtzeitig ersetzt werden kann. Ein Client fragt an und prüft die Signaturen mithilfe des allgemein bekannten öffentlichen Schlüssels. Ist eine Überprüfung erfolgreich, sind Manipulationen ausgeschlossen und die Informationen stammen tatsächlich von der angefragten Quelle.
( Artikel veröffentlicht: 27.10.2020 )