Login
Menu

DNSSEC: Mehr Sicherheit für SpaceHost Domains

Wenn du die Adresse einer Website suchst, fragst du einen sogenannten DNS-Server. Dieser Server übersetzt den leicht zu merkenden Domainnamen (z.B. www.beispiel.de) in die numerische Adresse (die IP-Adresse), die Computer zum Auffinden der Website benötigen.

Dem ursprünglich entwickelten DNS-Protokoll fehlt allerdings eine eingebaute Möglichkeit, die Antwort eines DNS-Servers auf ihre Echtheit zu überprüfen.

Diese Schwachstelle macht das Domain-Name-System (=DNS) anfällig für sogenannte “DNS-Spoofing”- oder “DNS-Cache-Poisoning”-Angriffe. Dabei werden gefälschte Antworten an deinen Computer oder den anfragenden DNS-Server gesendet. Das Ergebnis: Du könntest unbemerkt auf eine betrügerische Website umgeleitet werden, die beispielsweise Zugangsdaten abfangen möchte.

Die Antwort: DNSSEC

Hier kommt DNSSEC (Domain Name System Security Extensions) ins Spiel. DNSSEC ist keine vollständige Neuentwicklung des DNS, sondern eine Erweiterung, die die Möglichkeit hinzufügt, die Echtheit von DNS-Antworten kryptografisch zu überprüfen.

DNSSEC funktioniert im Wesentlichen durch digitale Signaturen. Jede Zone im DNS (z.B. “.de” oder “beispiel.de”) kann ihre DNS-Daten mit einem digitalen Schlüsselpaar signieren: einem privaten Schlüssel (der geheim gehalten wird) und einem öffentlichen Schlüssel (der im DNS veröffentlicht wird). Die DNS-Daten werden mit dem privaten Schlüssel signiert, und jeder, der den zugehörigen öffentlichen Schlüssel besitzt, kann die Signatur überprüfen und somit die Echtheit der Daten bestätigen.

Diese Schlüssel haben in der Regel eine begrenzte Gültigkeit und müssen regelmäßig ausgetauscht werden (das sog. Key Rollover). Dieser Prozess soll verhindern, dass evtl. kompromittierte Schlüssel über einen längeren Zeitraum missbraucht werden können.

Die Signierung der Schlüsselpaare erfolgt hierarchisch. Die Root-Zone (“.”) wird mit einem eigenen Schlüssel signiert. Dieser Schlüssel ermöglicht es, die Signaturen aller Top-Level-Domains (wie “.de”, “.com”, “.org”) zu überprüfen. Jede Zone kann dann ihre Domains/Sub-Domains signieren und so eine Vertrauenskette aufbauen.

Ein Blick in die Historie

Die Notwendigkeit, das DNS sicherer zu machen, wurde schon früh erkannt. Die ersten Ideen zu DNSSEC entstanden in den späten 1990er-Jahren. Ein wichtiger Meilenstein war die Veröffentlichung des grundlegenden RFCs (Request for Comments), der die technischen Spezifikationen von DNSSEC festgelegt hatte. Dies war der RFC 2535 aus dem Jahr 1999 der in der Praxis jedoch nicht eingesetzt wurde und sich als untauglich und zu aufwendig darstellte. Erst 2005 gab es dann eine grundlegend überarbeitete Version von DNSSEC in mehreren RFCs, die für die praktische Anwendung geeignet waren und den heutigen Standard darstellen.

Allerdings wurde erst 2010 auch die Root-Zone des DNS schließlich DNSSEC-signiert, wodurch das DNS-System von der Root-Zone aus komplett durchgängig validierbar wurde.

Trotz der Vorteile dauerte es weiterhin Jahre, bis DNSSEC breit eingesetzt wurde. Die Komplexität der Implementierung und die Notwendigkeit einer koordinierten Einführung über verschiedene DNS-Zonen hinweg stellten Herausforderungen dar.

In den letzten Jahren hat die Bedeutung von DNSSEC jedoch stetig zugenommen, da die Bedrohungen im Internet immer ausgefeilter werden. Immer mehr Domain-Registrare unterstützen DNSSEC, und auch die Betriebssysteme und Browser moderner Endgeräte sind in der Lage, die Signaturen zu überprüfen.

Gelöste Probleme und offene Herausforderungen

DNSSEC löst das Problem der fehlenden Authentizität im DNS und bietet bietet Schutz vor:

DNS-Spoofing/Cache Poisoning: Angreifer können keine gefälschten DNS-Einträge mehr einschleusen, die unbemerkt weiterverbreitet werden.
Man-in-the-Middle-Angriffen: Selbst wenn ein Angreifer den Datenverkehr zwischen einem Computer und einem DNS-Server abfängt, kann er die DNS-Antworten nicht unbemerkt manipulieren, da die Signatur ungültig wird.

Bei der Implementierung und Nutzung von DNSSEC existieren aber auch Herausforderungen und Nachteile:

Komplexität der Verwaltung: Die Einrichtung und Wartung von DNSSEC ist komplexer als die Verwaltung eines herkömmlichen DNS-Systems. Die Generierung, Speicherung und der regelmäßige Austausch der kryptografischen Schlüssel (Key Rollover) erfordern sorgfältige Planung und Durchführung. Fehler bei diesen Prozessen können zu Ausfällen der Domain führen.

– Erhöhte DNS-Nachrichtengröße: Die digitalen Signaturen erhöhen die Größe der DNS-Antworten. In Netzwerken mit begrenzter Bandbreite oder bei sehr häufigen DNS-Abfragen kann dies eine Rolle spielen.

Performance-Overhead: Die kryptografischen Operationen, die zur Erstellung und Überprüfung der Signaturen erforderlich sind, können zu einem geringfügigen Anstieg der Antwortzeiten im DNS führen.

Obwohl die Unterstützung für DNSSEC wächst, ist die flächendeckende Einführung noch nicht abgeschlossen. Dies bedeutet, dass nicht alle Domains und DNS-Resolver die Sicherheitsvorteile von DNSSEC nutzen können.

DNSSEC bei SpaceHost für alle Domains

Seit einigen Monaten ist für neu registrierte Domain standardmäßg DNSSEC aktiviert, sofern die Registrierungsstelle DNSSEC unterstützt. Mit Stand des 24.05.2025 sind auch alle über uns direkt registrierten bzw. unsere Nameserver verwalteten Bestandsdomains mit DNSSEC signiert.

Die Komplexität der Verwaltung durch die rechtzeitige Erneuerung der jeweiligen Keys erfolgt dabei automatisiert durch uns im Hintergrund. Es ist Ihrerseits keine Aktion erforderlich.

Domains bestellen: https://spacehost.de/domains/

DNSSEC ist eine entscheidende Technologie, um das Fundament des Internets sicherer zu machen. Auch wenn es für den durchschnittlichen Nutzer unsichtbar im Hintergrund wirkt, trägt es maßgeblich dazu bei, das Vertrauen in die Adressfindung im Internet zu stärken und vor gefährlichen Manipulationen zu schützen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über unsere Support-Seite.

Datenschutz-Übersicht
SpaceHost - Webhosting, Domains, Server auf SSD

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie die Wiedererkennung von dir, wenn du auf unsere Website zurückkehrst. Cookies helfen unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Erforderliche Cookies

Unbedingt notwendige Cookies für wesentliche Funktionen zur Sicherstellung der Servicekontinuität und Standortsicherheit, sowie zur Speicherung deiner Auswahl für die Cookie-Einstellung.

Analyse-Cookies

Diese Website verwendet Google Analytics, um anonyme Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln.

Diesen Cookie aktiviert zu lassen, hilft uns dabei, unsere Produkte, Dienstleistungen und das Benutzererlebnis zu verbessern.

Zusätzliche Cookies

Diese Website verwendet die folgenden zusätzlichen Cookies:

- VG Wort (Session-Cookie)

Dieses Cookie hilft, die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen zu ermitteln und hilft, eine rechtmäßige Vergütung sicherzustellen.