Mehr Sicherheit im Netz – Aktiviere jetzt DNSSEC für deine .ch-Domains

Tom Brühwiler
Autor:

Tom Brühwiler

Kategorie:

in

Neuigkeiten

Veröffentlicht am 20. Apr. 2022

Ab sofort kannst du bei cyon DNSSEC für alle deine .ch-Domainnamen aktivieren. Mit der Nutzung der «Domain Name System Security Extensions», eben DNSSEC, kann sich dein Website-Publikum sicher sein, auch wirklich auf deiner Website gelandet zu sein. Und nicht etwa auf einem betrügerischen Klon.

Titelbild «Mehr Sicherheit im Netz: Aktiviere jetzt DNSSEC für deine .ch-Domains»

Ganz neu ist DNSSEC bei cyon nicht: Schon seit 2015 kannst du DNSSEC für Domainnamen aktivieren, sofern du dafür externe Nameserver hinterlegt hast. Neu ist DNSSEC endlich auch bei der Nutzung der Nameserver von cyon möglich.

Klartext, bitte: Was steckt hinter DNSSEC?

Egal, ob du eine Website aufrufst, eine E-Mail verschickst oder auf dein E-Banking zugreifst: Am Anfang fast jeder Verbindung steht das Domain-Name-System, kurz DNS. Stell es dir als eine Art verteiltes Nachschlagewerk vor. Um überhaupt zu wissen, wo die von dir aufgerufene Website oder der zuständige Mailserver liegt, schickt dein Computer den Domainnamen an den zuständigen DNS-Server. Dieser liefert die für das Ziel korrekte IP-Adresse zurück. Und erst mit dieser Angabe weiss dein Computer dann, wohin er sich verbinden muss, bzw. auf welchem Server die gewünschte Website liegt.

Was aber, wenn nun jemand diese Antwort fälscht und deinem Computer eine falsche IP zurückliefert? Mit dem gängigen DNS-System vertraut dein Gerät der Antwort blind und zeigt dir im schlimmsten Fall eine gefälschte Website an.

Hier kommt DNSSEC als Erweiterung des DNS-System ins Spiel. Es wird genutzt, um die Echtheit (Authentizität) und Vollständigkeit (Integrität) der Antworten von DNS-Servern sicherzustellen. Konkret: DNSSEC nutzt kryptografische Signaturen, mit denen die aktuellen DNS-Einträge signiert werden. Damit kann sichergestellt werden, dass die Antwort des DNS-Servers nicht unerkannt manipuliert wurde. Eine detaillierte Erklärung zur Funktion von DNSSEC findest du auf der Infoseite der Stiftung SWITCH, der zentralen Registrierstelle für .ch-Domainnamen.

So aktivierst du DNSSEC bei cyon

Im Hintergrund ist die Aktivierung von DNSSEC relativ komplex. Umso einfacher ist die Aktivierung von DNSSEC für dich. Ein Klick auf «DNSSEC aktivieren» genügt und der Prozess wird gestartet. Die passende Option findest du in deinem my.cyon-Konto unter dem Menüpunkt «Sicherheit» und dort im Untermenü «DNSSEC».

Screenshot DNSSEC my.cyon

Aktiviere DNSSEC für deine Domain per Mausklick.

Wird DNSSEC für Domains nicht unterstützt, die in deinem my.cyon-Konto aufgelistet sind, fehlt der Link «DNSSEC aktivieren». Das kann verschiedene Gründe haben. Weitere Informationen zu den verschiedenen Fällen sowie eine ausführliche Anleitung zu den Aktivierungsmethoden für DNSSEC findest du in unserem Supportcenter: DNSSEC einrichten

Hilfe, ich habe meine .ch-Domain nicht bei cyon registriert

Wer cyon kennt, weiss: Wir stehen für ein offenes Internet ein. DNSSEC ist bei uns darum auch für .ch-Domains aktivierbar, die zwar bei uns genutzt werden, aber nicht bei cyon registriert sind. Das bedeutet, dass du deine bei einem anderen Anbieter registrierte Domain nicht zwingend zu cyon transferieren musst (auch wenn uns ein Domaintransfer zu uns natürlich sehr freut). Aktiviere DNSSEC für .ch-Domains auch in diesem Fall bequem per Mausklick in deinem my.cyon-Konto.

Sobald du DNSSEC für eine solche Domain aktivierst, dauert es in der Regel 3 Tage, bis DNSSEC auch tatsächlich bereit ist. Der Hintergrund: Die Registrierstelle prüft regelmässig, ob ein bestimmter DNS-Eintrag (in diesem Fall ein sogenannter CDS-Record) während mehrerer aufeinanderfolgenden Tagen vorhanden ist. Ist das der Fall, wird DNSSEC danach ohne weiteres Zutun automatisch aktiviert. Ob mit dem hinterlegten CDS-Record alles in Ordnung ist, kannst du jederzeit mit dem «CDS Status Check» von Switch überprüfen.

Übrigens: Das gleiche gilt für deine .li-Domains, denn SWITCH betreibt auch die Registrierstelle für die liechtensteinische Domainendung.

DNSSEC auch für andere Domainendungen?

Du fragst dich sicher, was denn mit all den anderen Domainendungen ausser .ch und .li ist. Dazu gibt es zwei Szenarien, bei denen du DNSSEC bei uns ohne weiteres Zutun aktivieren kannst:

  • Hast du deinen Domainnamen über cyon registriert und sind die Nameserver von cyon hinterlegt? Prima, dann kannst du DNSSEC jetzt ebenfalls per Mausklick in deinem my.cyon-Konto aktivieren.
  • Hast du deinen Domainnamen bei einem anderen Registrar gekauft, nutzt aber die cyon-Nameserver? Dann gibt es zum jetzigen Zeitpunkt lediglich die Top-Level-Domains .nu und .se, welche die Variante über den oben erwähnten CDS-Record unterstützen. Bei allen anderen Domainendungen gilt: DNSSEC per Mausklick ist nur möglich, wenn du die Domain über uns registriert hast.

Beteilige dich an der Diskussion

9 Kommentare

Peter
Peter 21. Apr. 2022 09:43

Hallo Tom, ich schliesse mich der Frage an, warum wird das DNSSEC nicht automatisch bei allen Domains aktiviert ? Welche Problem können auftreten ?
Grüsse
Peter

Oliver
Oliver 22. Apr. 2022 06:17

Frage ich mich auch gerade. DNSSEC ist überall Standard, ich wusste nicht einmal, dass es hier nicht so ist bislang und bin ehrlich gesagt schockiert darüber.

Mentrix Websolution
Mentrix Websolution 20. Apr. 2022 18:16

Soll man DNSSEC auch für Domains mit Weiterleitungen aktivieren?

Christian Studer
Christian Studer 20. Apr. 2022 12:38

Nice.

Gibt es irgendeinen Nachteil oder ein Argument, dass ich das nicht gleich auf allen möglichen Domains aktiviere?

Michael Hausding
Michael Hausding 21. Apr. 2022 16:04

DNSSEC erhöht die Komplexität des DNS Betriebes, da Schlüsselmaterial verwaltet werden muss. Bei einem kompetenten Betreiber wie cyon, der das übernimmt, sollte das kein Problem sein. Die DNS Antworten werden grösser, was theoretisch für DNS Reflection Attacken missbraucht werden kann, aber in der Realität nicht von Bedeutung ist, da es stärkere Reflektoren gibt.

Über 860’000 .ch Domain Namen DNSSEC signiert. https://www.nic.ch/de/statistics/dnssec/
Es spricht aus Sicht der Registrierungsstelle nichts dagegen, DNSSEC für alle seine .ch/.li Domains zu aktivieren. Wir empfehlen es sogar ausdrücklich um die sichere Nutzung des Domain Namens zu ermöglichen.

Marco
Marco 21. Apr. 2022 15:39
Bea
Bea 20. Apr. 2022 13:57

Das ging mir auch durch den Kopf. Oder anders gefragt: warum wird das nicht automatisch aktiviert?

Tom Brühwiler
Tom Brühwiler cyon
21. Apr. 2022 18:22

Hallo Bea, gegen eine automatische Aktivierung spricht nichts, im Gegenteil: Wir werden zu einem späteren Zeitpunkt DNSSEC dann auch automatisch aktivieren. Sobald es soweit ist, werden wir nochmals separat dazu informieren.

Daniel Bärlocher
Daniel Bärlocher 20. Apr. 2022 12:12

Danke @cyon! DNSSEC mit wenigen Klicks aktiviert. Allein schon das geboosterte Sicherheitsgefühl ist es wert. Behavioural IT.