/ DNS & DNSSEC

Hinter .at steckt mehr, als Sie denken: Jedes Mal, wenn Sie einen Domainnamen in die Adresszeile Ihres Browsers eintippen, läuft in Millisekunden ein weltweiter Abfrageprozess an, um Sie möglichst schnell zum gewünschten Ziel zu bringen. Möglich macht dies das Domain Name System (DNS).


DNS - Domain Name System

Das Domain Name System (DNS) ist  ein auf tausende Server verteilter Verzeichnisdienst im Internet, der IP Adressen in Domainnamen übersetzt und Anfragen weiter leitet.  Dies ist vergleichbar mit einem weltweiten Telefonbuch, in dem jedem Namen eine Telefonnummer (bzw. im Internet eine IP Adresse) zugeordnet ist. Jeder Computer hat eine eindeutige IP Adresse (z.B. 131.130.1.11), um miteinander kommunizieren zu können. Aus technischer Sicht reichen die IP-Adressen aus, um Webseiten zu adressieren und E-Mails zu verschicken. IP-Adressen sind aber nicht benutzerfreundlich, da sie nur schwer zu merken sind und keine Zusatzinformationen enthalten. Daher wurde eine Namensstruktur eingeführt, die die Navigation im Internet vereinfacht - das Domain Name System (DNS). Mittels DNS werden Namen in IP Adressen bzw. IP Adressen in Namen (Domains) übersetzt.  nic.at betreibt und überwacht die für die at. Zone eingesetzten Nameserver regelmäßig auf Funktionalität, Optimierungspotenziale und mögliche Fehler.

DNSSec - Domain Name System Security Extensions

DNSSec (Domain Name System Security Extensions) ist eine Sicherheitserweiterung für das Domain Name System (DNS). Sie garantiert mit Hilfe von digitalen Signaturen die Echtheit (Authentizität) und Vollständigkeit (Integrität) von DNS-Antworten. Anders gesagt: DNSSec gewährleistet, dass Sie im Internet zu der Domain gelangen, zu der Sie wollen und nicht unbemerkt umgeleitet werden. Obwohl DNSSec in technischen Fachkreisen schon seit 1995 bekannt ist, dauerte es weitere zehn Jahre, bis alle technischen Standards definiert und Implementierungsprobleme gelöst waren – und weitere fünf Jahre, bis die Voraussetzungen zur weltweiten Einführung durch ICANN geschaffen wurden.

Das Prinzip von DNSSec basiert auf der lückenlosen Signierung auf allen Ebenen des DNS, sprich von den 13 Root-Servern (ICANN) über die Zonen der jeweiligen Top-Level Domain Registries (wie .at) bis hin zu den einzelnen Domains, die der Registrar oder Internetdienstanbieter (ISP) verwaltet. Die Signierung der Root-Zone durch ICANN erfolgte im Jahr 2010 – seither führen mehr und mehr Registries DNSSec für ihre Top-Level Domain ein. Je nach Kontinent ergibt sich ein anderes Bild der DNSSec-Durchdringung: In Regionen wie Nordamerika, wo es wenige country code Top-Level Domains (ccTLDs) gibt, ist die prozentuelle DNSSec-Durchdringung höher, als auf Kontinenten, wie Asien, mit einer hohen ccTLD-dichte.

Wem nützt DNSSec?

  • Die Internet-Community profitiert von mehr Sicherheit im Internet
  • Registrare können ihren Kunden neue Dienstleistungen anbieten 
  • Zugangsprovider ermöglichen ihren Kunden unverfälschte Domain-Abfragen
  • Domain-Inhaber schützen ihre Domain vor ungewollten DNS-Attacken 
  • Institutionen mit Online-Zahlungsverkehr (z.B. Banken, Webshops etc.) oder sensiblen Daten-Transaktionen können ihre Kunden vor Missbrauch schützen – und Vertrauen im Netz gewinnen 

DNSSec für .at

Für .at-Domains ist DNSSec seit dem 29.02.2012 öffentlich aktiviert. Zuvor konnten Registrare in einer umfassenden Testphase das System prüfen und Erfahrungen damit sammeln. Gleichzeitig wurden bei nic.at umfangreiche Tests durchgeführt und Sicherheitsvorkehrungen getroffen, um die Einführung vorzubereiten. Denn bei anderen Registries hatte es beim DNSSec-Start immer wieder Probleme gegeben. 

Nameserver Konfiguration

nic.at verlangt bei der Registrierung einer Domain mindestens zwei richtig konfigurierte Nameserver. Die Konfiguration wird auch bei jeder darauf folgenden Datenänderung überprüft. Fehler in der Nameserver-Konfiguration sind ein Ablehnungsgrund für Domain-Anträge. 

Die gängiste Domain Nameserver Software ist BIND, die innerhalb des Netzwerks den DNS-Dienst verwaltet. Grundsätzlich gilt, wie bei jeder Software, dass die neueste Version von BIND installiert werden sollte, da eventuelle Sicherheitslücken oder andere Probleme in neueren Versionen eher behoben sind. Aktuelle Versionen von BIND sind erhältlich unter: http://www.isc.org/downloads/BIND/