DEU | ENG
Sie befinden sich hier: Home / Service & Support / Technische Informationen / DNSSEC

Service & Support

Printversion

DNSSEC - Sicherheit für die .at-Zone

DNSSEC steht für Domain Name System Security Extensions. Diese Sicherheitserweiterungen für das  DNS  garantieren die Authentizität (= Echtheit) und Datenintegrität (= Vollständigkeit) von DNS-Transaktionen. Anders gesagt: Mit DNSSEC können Sie sicher sein, dass Sie im Internet zu der Domain gelangen, zu der Sie hin wollten. DNSSEC gewährleistet, dass Ihre Domain-Abfragen tatsächlich vom zuständigen Server beantwortet werden und unterwegs nicht verändert wurden. Sogenanntes Cache-Poisoning, das Fälschen von DNS-Daten und Umleiten der User auf manipulierte Websites, wird mit DNSSEC verhindert.

Wie funktioniert DNSSEC?

DNSSEC basiert auf einer Signierung von DNS-Einträgen mit kryptografischen Schlüsseln. Für jede Zone, also von der Root über die Top Level Domain bis zur Domain, gibt es eigene Schlüssel-Paare. Jedes Schlüsselpaar besteht aus einem öffentlichen (public) und einem privaten (private) Schlüssel, wobei die Zone mit dem geheimen, privaten Schlüssel signiert und der öffentliche Schlüssel in der Zone selbst zur Verifizierung publiziert wird. Durch die Vertrauenskette bürgt die übergeordnete Zone für die nächstniedrige: Die Root Zone bürgt für den public key von .at, und die .at-Zone für den public key einer .at-Domain. Der public key der Root-Zone ist öffentlich bekannt und in den rekursiven Nameservern konfiguriert – so ist die Validierung der Vertrauenskette sichergestellt. Wichtig dabei ist eine lückenlose Signierung auf allen Ebenen. Diese ist von Seiten der ICANN (für die Root) und nic.at (für .at) gegeben – durchgängige Sicherheit ist aber erst dann gewährleistet, wenn auch der Registrar die von ihm verwalteten Domains signiert. Nur so können die DNS-Informationen vollständig validiert werden.

Wem nützt DNSSEC?

•    Die Internet-Community profitiert von mehr Sicherheit im Internet
•    Registrare können ihren Kunden neue Dienstleistungen anbieten 
•    Zugangsprovider ermöglichen ihren Kunden unverfälschte Domain-Abfragen
•    Domain-Inhaber schützen ihre Domain vor ungewollten DNS-Attacken 
•    Institutionen mit Online-Zahlungsverkehr (z.B. Banken, Webshops etc.) oder sensiblen Daten-Transaktionen können ihre Kunden vor Missbrauch schützen – und Vertrauen im Netz gewinnen 

DNSSEC für .at

Für .at-Domains ist DNSSEC seit dem 29.02.2012 öffentlich aktiviert. Zuvor konnten Registrare in einer umfassenden Testphase das System prüfen und Erfahrungen damit sammeln. Gleichzeitig wurden bei nic.at umfangreiche Tests durchgeführt und Sicherheitsvorkehrungen getroffen, um die Einführung vorzubereiten. Denn bei anderen Registries hatte es beim DNSSEC-Start immer wieder Probleme gegeben. 
Informationen, wie Sie Ihre .at-Domain DNSSEC signieren (lassen) können, finden Sie unter den speziellen FAQ zum Thema  DNSSEC.

Wenn Sie mehr über DNSSEC wissen wollen

können wir Ihnen folgende Websites empfehlen:

DNSSEC-Tools  http://dnssec-tools.org External Link    
DNS-School:  http://www.dns-school.org External Link 
DNSSEC.net:  http://www.dnssec.net/practical-documents External Link 
Internet Systems Consortium, Inc. (ISC):  http://www.isc.org/software/bind/dnssec External Link  
DNSSEC Industry Coalition  http://dnsseccoalition.org External Link 

 

 

Weiterführende FAQ

Antwort auf/zuklappen
Was sind technische Ablehnungsgründe für einen Domain-Antrag?

Es gibt verschiedene Ablehnungsgründe: Fehler im Antrag selbst (unvollständige Feldbezeichnungen, fehlende Pflichtfelder, ungültige Version etc.), ungültige Domain-Namen, falsche Eingabeformate, unerlaubte Zeichen. Der häufigste Ablehnungsgrund ist jedoch die fehlerhafte Nameserver-Konfiguration. Nähere Informationen zum Antragscheck und zur Nameserver-Konfiguration finden Sie hier.

Antwort auf/zuklappen
Wie oft werden die nic.at-Nameserver reloadet?

12 Mal pro Tag, und zwar um 1:00, 3:00, 5:00, 7:00, 9:00, 11:00, 13:00, 15:00, 17:00, 19:00, 21:00 und 23:00 Uhr. (MEZ).

Antwort auf/zuklappen
Was bedeutet IDN?

IDN steht für „Internationalized Domain Name“. Darunter wird ein Standard verstanden, der auch andere als die bisher erlaubten ASCII-Zeichen (die 26 lateinischen Buchstaben, die zehn Ziffern 0 - 9 und den Bindestrich) in Domais ermöglicht. Welche zusätzlichen Zeichen bei der Einführung von IDN erlaubt werden, wird von der jeweiligen Registry festgelegt.