S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Protokoll

DNS Security Extensions

Abkürzung: DNSSEC

Sicherheitserweiterung des DNS-Protokolls, die DNS-Antworten kryptografisch signiert und damit DNS-Spoofing und Cache-Poisoning verhindert.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

DNSSEC unterschreibt alle DNS-Antworten digital — wie eine notarielle Beglaubigung. Wenn jemand versucht, die DNS-Einträge zu fälschen (DNS-Spoofing), schlägt die Signaturprüfung fehl. Dein Gerät weiß dann: Diese Antwort ist gefälscht — nicht vertrauen.

Ausführliche Erklärung

DNSSEC fügt dem DNS-System digitale Signaturen hinzu. Jede DNS-Zone besitzt einen DNSKEY-Record (öffentlicher Schlüssel), mit dem RRSIG-Records (Signaturen für DNS-Antworten) verifiziert werden. Eine Vertrauenskette (Chain of Trust) von der Root-Zone bis zu Subdomains ermöglicht vollständige Validierung. DNSSEC schützt die DNS-Auflösung aber nicht die DNS-Kommunikation selbst (dafür: DNS-over-HTTPS, DNS-over-TLS). Adoptionsrate: Weltweit ca. 30-40% signierter Domains, aber niedrige Validierungsrate bei Resolvern.

>Wie funktioniert das?

1

Zone-Signing: DNS-Zone wird mit privatem Schlüssel signiert — jeder Record bekommt einen RRSIG

2

DNSKEY-Records veröffentlichen den öffentlichen Schlüssel

3

DS-Records verknüpfen Kindzone mit Elternzone (Chain of Trust bis Root)

4

Resolver prüft Signaturen bei jeder DNS-Antwort

5

Ungültige Signatur = validierender Resolver lehnt Antwort ab (SERVFAIL).

?Häufig gestellte Fragen
Antwort

Alle Domain-Betreiber — besonders Betreiber von kritischen Domains (Banking, Behörden, Healthcare). Die Aktivierung erfolgt beim Domain-Registrar und DNS-Hosting-Provider.

Antwort

DNSSEC schützt die Integrität der DNS-Daten (verhindert Fälschung). DNS-over-HTTPS schützt die Vertraulichkeit der DNS-Kommunikation (verhindert Abhören). Beide ergänzen sich.

Antwort

Vertrauen wird von der Root-Zone (verwaltet von ICANN) über TLDs (.de, .com) bis zur eigenen Domain weitergegeben — jede Ebene signiert den öffentlichen Schlüssel der nächsten Ebene.

Antwort

Wegen Komplexität der Schlüsselverwaltung, Risiko von Konfigurationsfehlern (DNSSEC-Fehler machen die Domain unerreichbar), Performanceoverhead und mangelndem Bewusstsein vieler Domain-Betreiber.

Antwort

Beim DNS-Provider DNSSEC aktivieren (generiert Schlüsselpaar und Signaturen), dann DS-Record beim Domain-Registrar eintragen der die Chain of Trust zur TLD herstellt — viele Provider machen das mit einem Klick.

Quick Facts
KategorieProtokoll
AbkürzungDNSSEC
Verwandte Begriffe4
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC