Was ist DNSSEC und wie funktioniert es? Einfach erklÀrt!

Vielleicht hast du schon von DNSSEC gehört oder gelesen, aber verwendest du es auch schon fĂŒr deine Domains?

Falls du dir nicht sicher bis was DNSSEC genau ist, was es dir bringt und ob es ĂŒberhaupt brauchst, solltest du jetzt weiterlesen.

Dieser Beitrag wird möglichst kurz gehalten und du erhÀltst die wichtigsten Infos zu den Domain Name System Security Extensions (DNSSEC).

Verlieren wir also keine Zeit und legen direkt los! 🚀

Was ist DNSSEC?

Die Domain Name System Security Extensions (DNSSEC) sind eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur GewÀhrleistung der AuthentizitÀt und IntegritÀt der Daten erweitern.

Das sagt uns Wikipedia dazu. Toll, jetzt sind du und ich im Prinzip genauso schlau wie vorher, oder?

Versuchen wir’s also noch einmal in verstĂ€ndlichem Deutsch. Einverstanden?

DNSSEC sorgt dafĂŒr, dass deine Besucher auch tatsĂ€chlich deine Webseite zu sehen bekommen, wenn sie voller Vorfreude deine Domain in die Adresszeile ihres Browsers tippen oder auf eine andere Art und Weise deine Domain aufrufen.

Was sollen sie denn auch sonst zu sehen bekommen, denkst du dir jetzt vielleicht.

DNS-Cache-Poisoning

Deine Webseite wird auf einem Computer gespeichert, der mit dem Internet verbunden ist – wir nennen diesen Computer einfachheitshalber Server. 😉

Dieser Server hat eine feste IP-Adresse zugewiesen bekommen. Über diese IP ist auch deine Webseite erreichbar. Doch kein Mensch will sich stĂ€ndig irgendwelche IP-Adressen merken, nur um eine Webseite aufzurufen.

Also wurden Domains erfunden. Cool, oder? đŸ„ł

Ich gehe jetzt nicht darauf ein wie genau deine Domain mit deiner Server-IP zusammenkommt. Das wĂŒrde den Rahmen sprengen und mehr verwirren als helfen.

Ich versuche es etwas einfacher zu erklĂ€ren. Von deinem Webhoster bekommst du in der Regel mindestens zwei sogenannte Nameserver mitgeteilt. Diese hinterlegst du bei deinem Domain Registrar fĂŒr jede Domain, die du mit diesem Webhoster verbinden möchtest.

Hast du deine Domain ebenfalls bei deinem Webhoster bestellt, erledigt das der Webhoster normalerweise automatisch fĂŒr dich.

Deine Webseite ist jetzt also erreichbar. Besucher stĂŒrmen deine Webseite, du machst den Umsatz deines Lebens. đŸ€‘

Jetzt werden die Nameserver deines Hosters gehackt und eine kleine Textdatei herausgesucht, die den Namen deiner Domain enthĂ€lt – eine sog. DNS-Zonen-Datei.

In dieser Datei stehen so nĂŒtzliche Dinge wie die IP-Adresse zu der deine Domain gehört.

Der Hacker verÀndert nichts, bis auf genau diese IP-Adresse. Die neue IP-Adresse gehört zum Server des Hackers.

Dort liegt bereits eine – zumindest optische – Kopie deiner Webseite.

Deine Domain wird weiterhin wie verrĂŒckt aufgerufen. Und natĂŒrlich werden deine Besucher mit dem Server des Hackers verbunden, ohne, dass sie einen Unterschied bemerken.

Du hast aber zum GlĂŒck einen guten Webhoster, der den unbefugten Zugriff sofort bemerkt und unterbunden hat. Außerdem wurden alle DNS-EintrĂ€ge korrigiert und deine Domain ist nun wieder mit der richtigen IP verbunden.

Puh, nochmal GlĂŒck gehabt. Doof nur, dass die IP des Hackers im DNS-Cache gespeichert und somit fĂŒr mindestens einige Stunden “vergiftet” wurde. Deine Besucher werden jetzt nĂ€mlich nicht sofort wieder mit der richtigen IP verbunden.

Der Hacker macht jetzt vielleicht nicht sofort den Umsatz seines Lebens, aber zumindest greift er fleißig die Daten deiner vermeintlichen Kunden ab.

Et voilĂ : DNS-Cache-Poisoning

Stell dir jetzt mal vor, dass du der Besucher bist und die Webseite deiner Bank gehört. Eine ziemlich unangenehme Situation – fĂŒr alle Beteiligten.

Wie können wir uns bzw. unsere Besucher gegen solche Szenarien schĂŒtzen?

Wie funktioniert DNSSEC?

Du ahnst es schon. DNSSEC ist fĂŒr unsere vorab beschriebene Situation die Lösung. Doch wie funktioniert das eigentlich?

Um zu gewÀhrleisten, dass ein Besucher mit dem richtigen Server verbunden wird, wenn er deine Domain aufruft, muss die Kommunikation zwischen den beiden signiert werden.

Das funktioniert so. Es werden Public und Secret Keys benutzt. Mit dem Secret Key werden alle DNS-Informationen digital signiert. Der Browser deines Besuchers kennt den Public Key und kann damit die digitale Signatur ĂŒberprĂŒfen und die AuthentizitĂ€t bestĂ€tigen.

Oder auch nicht.

In dem Fall sieht es fĂŒr den Besucher so aus als wĂŒrde deine Domain gar nicht existieren. Das ist uncool, aber immer noch besser als mit einer gefĂ€lschten Webseite verbunden zu werden. Findest du nicht? 😉

Mit der Aktivierung von DNSSEC ist also alles erledigt und du bzw. deine Webseiten sind sicher. Leider nicht ganz!

Keine eierlegende Wollmilchsau

DNSSEC sollte nur ein kleiner Teil deines Sicherheitskonzepts sein – wenn ĂŒberhaupt (dazu kommen wir gleich noch). Denn die Kommunikation zwischen deiner Webseite und deinen Besuchern ist nach wie vor unverschlĂŒsselt.

Das hast du aber sicher bereits mit Hilfe eines SSL-Zertifikats gelöst. Oder dein Webhoster hat das bereits automatisch fĂŒr dich getan. So ist es zumindest bei uns. 🙂

Deine Webseite selbst wird durch DNSSEC auch nicht plötzlich zu Fort Knox. Du musst also dafĂŒr sorgen, dass sie nicht (so einfach) gehackt werden kann.

Es ist gut DNSSEC zu aktivieren. Aber das ist noch lange nicht alles was du tun kannst und solltest.

Gibt es Nachteile bei der Nutzung von DNSSEC?

NatĂŒrlich hat jede Technologie nicht nur Vor-, sondern auch Nachteile.

Die Nachteile von DNSSEC könnten z.B. sein, dass durch die Verifizierung der signierten DNS-Informationen mehr Zeit benötigt wird, um deine Webseite auszuliefern. Das heißt, deine Webseite wird ggf. etwas langsamer.

Das ist aber vernachlÀssigbar, weil das in der Regel nicht wahrnehmbar ist.

Was allerdings wichtiger ist, ist die Tatsache, dass eine Domain mit DNSSEC schwerer zu managen ist oder besser gesagt, du bist nicht so flexibel.

Damit ist gemeint, dass du z.B. bei einem Transfer deiner Domain aufpassen musst, dass der DNSSEC SchlĂŒssel ebenfalls zum neuen Domain Registrar ĂŒbertragen wird. Oder du musst es manuell tun.

Das wÀre allerdings noch halb so wild, denn dadurch wÀre DNSSEC zwar nicht mehr aktiv, aber deiner Webseite wÀre weiterhin erreichbar.

Schlimmer wĂ€re es, wenn du dein Hosting wechselst und vergisst den DNSSEC SchlĂŒssel in deinem neuen Hosting einzurichten. In diesem Fall wĂ€re deine Webseite spĂ€testens nach ein paar Stunden fĂŒr niemanden mehr erreichbar, weil die Browser deiner Besucher die AuthentizitĂ€t der DNS-Daten nicht mehr verifizieren könnten.

Das geht aber auch ohne einen Hosting-Wechsel. Was ist mit deinen Subdomains? Solange sich diese in derselben DNS-Zone befinden wie deine Hauptdomain, ist alles in Ordnung. Doch was, wenn es nicht so ist? Dann musst du DNSSEC auch fĂŒr deine Subdomains aktivieren und einrichten.

Du siehst selbst, dass DNSSEC viel Arbeit machen kann (aber nicht muss) und dass du vorsichtiger mit DNS-Anpassungen sein musst.

Es sind keine schwerwiegenden Nachteile, aber am Ende musst du natĂŒrlich selbst entscheiden, ob du DNSSEC aktivieren möchtest oder nicht.

Hier erhĂ€ltst du ĂŒbrigens noch weitere Informationen dazu was die Nachteile von DNSSEC sein können.

GrundsĂ€tzlich ist es aber eine gute Sache. Nur scheint das kaum jemanden zu interessieren. đŸ€”

Warum benutzt kaum jemand DNSSEC?

TatsĂ€chlich wird DNSSEC von kaum jemandem benutzt. Ja, sogar fĂŒr die Domain deiner Bank oder Sparkasse wird DNSSEC vermutlich nicht aktiviert sein.

Paypal.de oder Akamai.com hingegen haben es aktiviert. Und auch ein paar andere große Unternehmen. Aber eben bei Weitem nicht alle.

Woran das liegt? Vielleicht an den Nachteilen, die ich bereits genannt habe. Vielleicht auch an etwas anderem. golem.de berichtete Anfang 2022 von Problemen bei der Postbank, die vermutlich (auch) mit DNSSEC zutun hatten. Aktuell nutzt postbank.de jedenfalls kein DNSSEC.

Ich denke, dass es vor allem an genau diesen, vermeintlich kleinen, Problemchen liegt, dass DNSSEC kaum genutzt wird.

Dennoch bietet es einen gewissen Schutz. Aber, ob du die Erreichbarkeit deiner Webseiten damit riskieren möchtest oder dir die korrekte Konfiguration von DNSSEC zutraust und dir die damit einhergehende Sicherheit wichtiger ist, musst du letztendlich fĂŒr dich selbst entscheiden.

Unsere Kunden haben jedenfalls die Möglichkeit DNSSEC fĂŒr ihre Domains zu aktivieren. Wir sind ihnen dabei gerne behilflich, weisen aber gleichzeitig daraufhin, dass es auch mehr Probleme machen als lösen kann.

FAQ

HĂ€ufig gestellte Fragen zu DNSSEC werden hier beantwortet.

Kann fĂŒr jede Domain DNSSEC aktiviert werden?

Nein, nicht alle Domains unterstĂŒtzen DNSSEC. Aber fast alle. Falls du DNSSEC fĂŒr eine neue Domain aktivieren möchtest, solltest du vorab prĂŒfen, ob diese auch DNSSEC unterstĂŒtzt. Eine kurze Google-Recherche sollte dir schnell Klarheit verschaffen.

SchĂŒtzt DNSSEC meine Webseite vor Hacking oder DDoS-Angriffen?

Nein, deine Webseite kann auch mit der Verwendung von DNSSEC angegriffen sowie gehackt werden.

VerschlĂŒsselt DNSSEC den Traffic auf meiner Webseite?

Nein, DNSSEC signiert lediglich die Antworten von deiner Webseite (deinem Server). FĂŒr die VerschlĂŒsselung des Datenverkehrs zwischen deiner Webseite und einen Besuchern sorgt ein SSL-Zertifikat.

Wie kann ich prĂŒfen, ob DNSSEC mit meiner Domain funktioniert?

Nach der Einrichtung von DNSSEC kannst du das Tool von VeriSign benutzen. Gebe dort einfach deine Domain ein. Das Ergebnis sollte wie folgt aussehen:

DNSSEC Ergebnis fĂŒr gosuccess.io