Was ist DNSSEC (DNS Security Extension)?

Einfach ausgedrückt: DNSSEC stellt sicher, dass Benutzer auf die tatsächliche Website weitergeleitet werden, nach der sie suchen, und nicht auf eine gefälschte Website. Die Suche bleibt zwar nicht geheim (TLS – oder Transport Layer Security – ist ein Sicherheitsprotokoll, das den Datenschutz im Internet gewährleisten soll), aber es verhindert, dass böswillige Akteure manipulierte DNS-Antworten in DNS-Anfragen einfügen.

DNSSEC (kurz für Domain Name System Security Extensions) wird verwendet, um das DNS-Protokoll zu erweitern und Schwachstellen im DNS zu beseitigen, die das System anfällig für verschiedene Cyberangriffe machen, wie z. B. DNS-Spoofing, DNS-Cache-Poisoning, Man-in-the-Middle-Angriffe und andere unbefugte Änderungen an DNS-Daten. Die Implementierung von DNSSEC trägt dazu bei, das DNS vor diesen potenziellen Risiken zu schützen und eine sicherere und zuverlässigere Infrastruktur für das Internet zu schaffen. Wenn ein DNS-Resolver Informationen abfragt, werden DNS-Lookup-Antworten durch die Überprüfung digitaler Signaturen validiert, wodurch die Authentizität und Integrität der empfangenen Daten bestätigt wird.

Da sich die Bedrohungen im Bereich der Cybersicherheit ständig weiterentwickeln, wird die Nachfrage nach robusten Sicherheitsmaßnahmen, einschließlich DNSSEC, wahrscheinlich steigen. Organisationen wie die Internet Corporation for Assigned Names and Numbers (ICANN) setzen sich aktiv für die weltweite Einführung von DNS ein, was die wachsende Bedeutung dieser Sicherheitsmaßnahme für das DNS widerspiegelt.

Um das DNS zu sichern, fügen DNS-Sicherheitserweiterungen kryptografische Signaturen zu bestehenden DNS-Einträgen hinzu. Diese Signaturen werden in DNS-Nameservern zusammen mit anderen Arten von DNS-Einträgen gespeichert, z. B. A-Einträgen (die eine direkte Verbindung zwischen einer IPv4-Adresse und einem Domainnamen herstellen), AAAA-Einträgen (die Domainnamen mit IPv6-Adressen verbinden), MX-Einträgen (die E-Mails an einen Domain-Mailserver leiten) und CNAME-Einträgen (die Aliase ihren wahren oder „kanonischen“ Domainnamen zuordnen).

Hier finden Sie weitere verwandte Einträge und Begriffe, die für das Verständnis der Funktionsweise von DNSSEC hilfreich sind:

DS-Einträge werden verwendet, um eine sichere Vertrauenskette zwischen einer übergeordneten Zone und einer untergeordneten Zone herzustellen. Sie enthalten den kryptografischen Hash eines DNSKEY-Eintrags.

DNSKEY-Einträge (auch DNSSEC-Schlüssel genannt) speichern öffentliche Schlüssel, die mit einer bestimmten DNS-Zone verknüpft sind. Diese Schlüssel werden zur Verifizierung digitaler Signaturen und zur Sicherstellung der Authentizität und Integrität von DNS-Daten innerhalb dieser Zone verwendet.

RRSIG-Einträge enthalten eine kryptografische Signatur, die mit einer Reihe von DNS-Ressourceneinträgen verknüpft ist.

Hierbei handelt es sich um eine Sammlung aller Ressourceneinträge eines bestimmten Typs, die mit einem bestimmten Namen im DNS verknüpft sind. Wenn Sie beispielsweise zwei IP-Adressen haben, die mit „example.com“ verbunden sind, werden die A-Einträge für diese Adressen zu einem RRset zusammengefasst.

Hierbei handelt es sich um einen Eintrag, der die Eintragstypen auflistet, die für eine Domain existieren, und der verwendet wird, um die authentifizierte Verweigerung der Existenz eines bestimmten Domainnamens anzuzeigen. Dabei wird der „nächste sichere“ (Next Secure) Eintrag zurückgegeben. Wenn zum Beispiel ein rekursiver Resolver einen Nameserver nach einem Datensatz abfragt, der nicht existiert, gibt der Nameserver einen anderen Eintrag zurück – den „nächsten sicheren Eintrag“, der auf dem Server definiert ist – und zeigt damit an, dass der angeforderte Eintrag nicht existiert.

Hierbei handelt es sich um eine Erweiterung von NSEC. Es verbessert die Sicherheit, indem es für Angreifer schwieriger wird, die Namen bestehender Domains in einer Zone vorherzusagen oder zu erraten. Es funktioniert ähnlich wie NSEC, verwendet jedoch kryptografisch gehashte Eintragsnamen, um eine Auflistung der Namen in einer bestimmten Zone zu vermeiden.

Zonensignatur-Schlüsselpaare (ein öffentlicher Schlüssel und ein privater Schlüssel) sind Authentifizierungsschlüssel, die zum Signieren und Verifizieren eines RRsets verwendet werden. In DNSSEC hat jede Zone ein ZSK-Paar. Der private Schlüssel wird verwendet, um digitale Signaturen für das RRset zu erstellen. Diese Signaturen werden als RRSIG-Einträge im Nameserver gespeichert. Der zugehörige öffentliche Schlüssel, der in einem DNSKEY-Eintrag gespeichert ist, verifiziert die Signaturen und bestätigt die Authentizität des RRsets. Zur Validierung des öffentlichen ZSK sind allerdings noch weitere Maßnahmen erforderlich. Hierzu wird ein Key-Signing-Schlüssel verwendet.

Ein Key-Signing-Schlüssel ist ein weiteres öffentliches/privates Schlüsselpaar und wird verwendet, um zu überprüfen, dass der Signierschlüssel der öffentlichen Zone nicht kompromittiert ist. 

DNS-Sicherheitserweiterungen bieten ein kryptografisch gesichertes Framework, das die Sicherheit und Vertrauenswürdigkeit des DNS verbessern soll. Im Kern verwendet DNSSEC ein System aus öffentlichen und privaten Schlüsselpaaren. Um die DNSSEC-Validierung zu ermöglichen, erzeugt ein Zonenadministrator digitale Signaturen (gespeichert als RRSIG-Einträge) unter Verwendung des privaten Zonensignaturschlüssels und eines entsprechenden öffentlichen Schlüssels, der als DNSKEY-Eintrag verteilt wird. Ein Key-Signing-Schlüssel wird verwendet, um den ZSK zu signieren und zu authentifizieren, wodurch eine zusätzliche Sicherheitsebene geschaffen wird.

DNS-Resolver rufen bei einer Abfrage das angeforderte RRset und den zugehörigen RRSIG-Eintrag ab, der den privaten Zonensignaturschlüssel enthält. Der Resolver fordert dann den DNSKEY-Eintrag an, der den öffentlichen ZSK-Schlüssel enthält. Diese drei Assets zusammen validieren die Antwort, die der Resolver erhält. Die Authentizität des öffentlichen ZSK muss jedoch noch verifiziert werden. Hier kommen die Key-Signing-Schlüssel ins Spiel.

Der Key-Signing-Schlüssel wird verwendet, um den öffentlichen ZSK zu signieren und ein RRSIG für den DNSKEY zu erstellen. Der Nameserver veröffentlicht einen öffentlichen KSK in einem DNSKEY-Eintrag, wie er es für den öffentlichen ZSK getan hat. Dadurch wird ein RRset erstellt, das beide DNSKEY-Einträge enthält. Diese werden vom privaten KSK signiert und vom öffentlichen KSK validiert. Diese Authentifizierung validiert den öffentlichen ZSK – das ist der Zweck des KSK – und verifiziert die Authentizität des angeforderten RRsets.

DNSSEC basiert auf dem Prinzip der Einrichtung einer „Vertrauenskette“ in der gesamten DNS-Hierarchie und der Signierung von DNS-Daten auf jeder Ebene, um einen überprüfbaren Pfad zu schaffen, der die Integrität und Authentizität der Daten gewährleistet. Jedes Glied in der Kette wird mit digitalen Signaturen gesichert, wodurch ein Vertrauensanker geschaffen wird, der bei den Root-Zonenservern beginnt und sich über die Top-Level-Domain (TLD)-Server bis hin zu den autoritativen DNS-Servern für einzelne Domains erstreckt.

Delegation Signer (DS)-Datensätze werden verwendet, um die Vertrauensübertragung von einer übergeordneten zu einer untergeordneten Zone zu ermöglichen. Wenn ein Resolver auf eine untergeordnete Zone verwiesen wird, stellt die übergeordnete Zone einen DS-Eintrag bereit, der einen Hash des DNSKEY-Eintrags der übergeordneten Zone enthält. Dieser wird mit dem gehashten öffentlichen KSK der untergeordneten Zone verglichen. Eine Übereinstimmung zeigt die Authentizität des öffentlichen KSK an und teilt dem Resolver mit, dass den Einträgen in der Subdomain (untergeordnete Zone) vertraut werden kann. Dieser Prozess funktioniert von Zone zu Zone und baut eine Vertrauenskette auf.

DNSSEC und DNS-Sicherheit sind verwandte Konzepte im Bereich der Internetsicherheit, die jeweils einen anderen Schwerpunkt und Umfang haben. DNSSEC bezieht sich speziell auf eine Reihe von DNS-Erweiterungen, die die Sicherheit des Domain Name Systems verstärken sollen. Sein Hauptziel ist es, die Integrität und Authentizität von DNS-Einträgen durch Kryptographie mit privaten und öffentlichen Schlüsseln zu gewährleisten.

DNS-Sicherheit ist ein weiter gefasster Begriff, der einen umfassenden Ansatz zur Sicherung der gesamten DNS-Umgebung umfasst. Obwohl DNSSEC eine entscheidende Komponente der DNS-Sicherheit ist, geht der Umfang der DNS-Sicherheit über die spezifischen Protokolle von DNSSEC hinaus. DNS-Sicherheit befasst sich mit einer Vielzahl von Bedrohungen, einschließlich Distributed Denial-of-Service (DDoS)-Angriffen und Domain-Diebstahl, und bietet eine ganzheitliche Strategie zum Schutz vor bösartigen Aktivitäten, die die DNS-Infrastruktur gefährden könnten.