DNSSEC – 6 Buchstaben für ein sichereres Internet

← zurück zum Blog

Die «Domain Name System Security Extensions» (DNSSEC) setzen sich aus verschiedenen Internetstandards zusammen, mit dem Ziel, dem «Domain Name System» (DNS) zusätzliche Sicherheitsmerkmale zu verleihen. Kurz gesagt: DNSSEC soll sicherstellen, dass Sie beim Aufruf einer Domain den Server erreichen, den Sie mit der Eingabe der Domain erreichen wollten.

Bis Anfang Jahr hielt sich die Nachfrage nach DNSSEC in Grenzen, seither ist das Thema aber häufiger gefragt. Grund dafür ist der Rückzug von SWITCH aus dem Endkundengeschäft mit .ch-Domains.

Domainbesitzer, die bisher DNSSEC für ihre .ch-Domain aktiviert hatten, standen nun vor einem echten Problem. Registrare, die eine passende Option anbieten, lassen sich nämlich mühelos an einer Hand abzählen.

Falls für Sie die fehlende Unterstützung bisher ein Grund war, Ihre .ch-Domain nicht bei uns unterzubringen, haben wir gute Neuigkeiten.

DNSSEC auch bei uns

Ab sofort steht DNSSEC für alle Domainendungen zur Verfügung, die mit der Erweiterung kompatibel sind. Wie bei uns üblich, ist die Verwaltung der Option ein Kinderspiel. Da unsere eigenen Nameserver die Erweiterung (noch) nicht vollständig unterstützen, benötigen Sie für Ihre Domain vorerst externe Nameserver. Sie sehen die passende Option in Ihrem my.cyon-Konto daher nur, wenn für Ihre Domain nicht die cyon-Nameserver hinterlegt sind.

Hinterlegen Sie die DNSSEC-Einträge für Ihre Domain.

Hinterlegen Sie die DNSSEC-Einträge für Ihre Domain.

Geteilte Meinungen

Das Eintragen fehlerhafter DNSSEC-Informationen kann dazu führen, dass Ihre Domain nicht mehr erreichbar ist. Bitte verwenden Sie die Funktion deshalb nur, wenn Sie mit der Materie vertraut sind. Ob DNSSEC wirklich eine sinnvolle Lösung darstellt, darüber streiten sich übrigens die Sicherheitsexperten. Das Thema wird immer wieder heiss diskutiert.

Möchten Sie mehr zu DNSSEC erfahren? Dann empfehlen wir Ihnen die Informationsseite von SWITCH. Vor allem die dort verlinkte Broschüre liefert einen guten Einblick in das Thema.

21 Kommentare

  1. Toll, dass ihr das Feature anbietet, für die die’s brauchen :)
    LG David

  2. Wann werden die Nameserver von cyon DNSSEC unterstützen?

  3. Würde das Thema gerne nochmal ansprechen. Ich würde einen DNSSEC Support für cyon.ch auch begrüssen.
    Scheinbar wäre es doch auch für einen sicheren Mailversand per SMTP sinnvoll? (siehe: https://blog.filippo.io/the-sad-state-of-smtp-encryption/)

  4. Hallo zusammen! Inzwischen ist ja bereits wieder ein wenig Zeit vergangen. Wie sieht es heute aus? Unterstützen Eure Server nun DNSSEC?

    Sommerliche Grüsse
    Marco

    • Hallo Marco. Wir haben Pläne, einen anderen DNS-Server zu verwenden. Dieser würde dann auch DNSSEC unterstützen. Die Umstellung wird jedoch nicht vor Mitte 2017 stattfinden.

  5. Ich schliesse mich an den Kommentar von Marco an: Ist die Umstellung auf den neuen DNS-Server mit DNSSEC definitiv?

    Falls ja:
    – Wann ungefähr wird die Aufschaltung erfolgen?
    – Erfolgt das Key-Rollover automatisch?
    – Welche und wie viele RR Records werden unterstützt? (DANE, SSHFP ?)
    – Wird NSEC3 unterstützt oder nur NSEC?
    – Sind die Nameserver geografisch verteilt (Stichwort Anycast)?

    • Hallo Eduard, merci für die Nachfrage. Die Umstellung auf den neuen DNS-Server ist weiterhin geplant. Genauere Details kann ich Dir dazu aber noch nicht nennen.

  6. Hallo Cyon Team

    Hat sich inzwischen etwas in dieser Thematik bewegt? Besten Dank für ein kurzes Feedback.

    • Hallo Daniel. Wir warten momentan darauf, dass der neue Nameserver DNSSEC auch in einer Cluster-Umgebung unterstützt. Ich kann aktuell noch nicht abschätzen, wann das der Fall sein wird. Das Thema ist bei uns natürlich weiterhin auf der Roadmap :)

  7. Hallo Cyon Team

    Könnt ihr hier bitte wieder einen aktuellen Status posten?
    Mittlerweile steigen ja selbst im „DNSSEC Entwicklungsland Schweiz“ (nicht mein Terminus J : https://www.digitale-gesellschaft.ch/2017/03/20/it-sicherheit-die-schweiz-und-dnssec/ ) die Anzahl von signierten Domains explosionsartig: https://securityblog.switch.ch/tag/dnssec/

    Besten Dank und freundliche Grüsse
    Peter

    • Hallo Peter, danke fürs Nachhaken. Das Projekt war in der Zwischenzeit aufgrund von Abhängigkeiten zur von uns eingesetzten Administrations-Software auf Eis gelegt, wird aber in den kommenden Sprints wieder aktiv vorangetrieben. Eine konkrete Zeitangabe, wann die Funktion verfügbar sein wird, kann ich aktuell noch nicht machen.

  8. Hallo Cyon

    Bisher wurde immer nur nach der Implementierung bei euren Nameservern gefragt – aber wie sieht es bei euch selber aus?

    Bisher ist cyon.ch noch nicht signiert:
    https://dnssec-debugger.verisignlabs.com/cyon.ch

    • Wir nutzen für cyon.ch unsere eigenen Nameserver, die zurzeit noch nicht ganz bereit für DNSSEC sind. Wir arbeiten daran :)

  9. Wie sieht es aus? Inzwischen ist ja einige Zeit vergangen…

    • Wir sind zurzeit daran, unsere Nameserver auf die neue Lösung (PowerDNS) umzustellen. Mit PowerDNS ist dann die Voraussetzung geschaffen, dass wir auch DNSSEC für Zonen anbieten können, die auf unseren Nameservern hinterlegt sind. Stay tuned :)

  10. Hallo Philipp, ist absehbar ob DNSSEC im Laufe des Jahres 2019 auf Euren Nameservern unterstützt wird?

    • Hallo Marco. Das Projekt zur Umstellung unseres DNS-Setups ist schon sehr weit fortgeschritten, einen konkreten Zeitpunkt kann ich Dir zum jetzigen Zeitpunkt jedoch noch nicht nennen.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog