Was sind DNSSEC (Domain Name System Security Extensions)?
Bei den DNSSEC (Domain Name System Security Extensions) handelt es sich um Internetstandards zur Erweiterung der Sicherheit im DNS (Domain Name System). Sie gewährleisten die Integrität und Authentizität der Daten. Entwickelt wurde DNSSEC zum Schutz vor Cache Poisoning und überträgt mit digitalen Signaturen Resource Records (Informationseinheiten). Mit den Informationen verifiziert ein DNS-Teilnehmer, dass die DNS-Zonendaten mit denen des Erstellers der Zone identisch sind. Zur Absicherung wird für jede Zone einen Zonenkey erstellt, der sich aus einem öffentlichen und privaten Schlüssel zusammensetzt. Die erste Version vom März 1999 hat sich wegen einer zu aufwendigen Verwaltung der Schlüssel als untauglich erwiesen, 2005 folgte daher eine neue Version. Für .de-Domains ist DNSSEC seit Mai 2011 verfügbar.
Welche Schwachstellen hat DNSSEC?
DNSSEC kann Denial-of-Service-Angriffe nicht verhindern. Auch lassen sich DNS Amplification Attacks effektiver ausführen. Da die Public-Keys zur Verifizierung über das DNS-System verteilt werden, existieren Angriffsmöglichkeiten auf die gebildete Vertrauenskette. Zur Verhinderung dieser Angriffe auf die Vertrauenskette muss der öffentliche Schlüssel über einen anderen Weg verteilt werden, beispielsweise über die Server- und Client-Software. DNSSEC sichert lediglich Nameserverabfragen ab, was in Kombination mit verschlüsselnden Übertragungsprotokollen (TLS) sinnvoll ist. Allerdings ist auch hier die Zustellung von Datenpaketen durch korruptes Routing an einen falschen Rechner möglich. Für die Sicherung des Zusammenspiels von TLS und DNSSEC kommt zum Beispiel DANE infrage