DNSSEC - kein Gift im Speicher

Die ‚Domain Name System Security Extensions‘ (DNSSEC) wurden eingeführt, um einen besseren Schutz vor ‚Cache Poisoning‘ (‚Temporärspeichervergiftung‘) zu bieten. Ein Angriff auf das Domain Name System (DNS) sollte abgewehrt werden, ein Missbrauch, der den Datenverkehr auf einen fremden Rechner umleitet. Denial-of-Service-Attacken (DoS), das IP-Spoofing wie auch das DNS-Hijacking nutzen diese Sicherheitslücke.

Das DNSSEC sichert den Datenverkehr durch eine Verschlüsselung ab. Der Besitzer einer Information unterzeichnet – verkürzt dargestellt - auf dem Master-Server jeden Datenverkehr mit seinem geheimen Schlüssel (‚private key‘), den wiederum nur der Empfänger mit seinem ‚public key‘ auflösen kann. Die verwendeten Schlüssel haben nur eine begrenzte zeitliche Gültigkeit. Zur Teilnahme an dem Verfahren ist die EDNS-Fähigkeit eines Rechners erforderlich. Diese ‚extended DNS‘ gestattet Protokoll-Erweiterungen beim Domain Name System (DNS).

Klar ist aber auch, dass beim DNSSEC-Verfahren nur die ‚Verkehrswege‘ über die beteiligten Server verschlüsselt sind. Die Daten bzw. die ‚Inhalte‘ einer Nachricht bleiben weiterhin unverschlüsselt.
Λ