DNSSEC – 6 Buchstaben für ein sichereres Internet
Die «Domain Name System Security Extensions» (DNSSEC) setzen sich aus verschiedenen Internetstandards zusammen, mit dem Ziel, dem «Domain Name System» (DNS) zusätzliche Sicherheitsmerkmale zu verleihen. Kurz gesagt: DNSSEC soll sicherstellen, dass Sie beim Aufruf einer Domain den Server erreichen, den Sie mit der Eingabe der Domain erreichen wollten.
Bis Anfang Jahr hielt sich die Nachfrage nach DNSSEC in Grenzen, seither ist das Thema aber häufiger gefragt. Grund dafür ist der Rückzug von SWITCH aus dem Endkundengeschäft mit .ch-Domains.
Domainbesitzer, die bisher DNSSEC für ihre .ch-Domain aktiviert hatten, standen nun vor einem echten Problem. Registrare, die eine passende Option anbieten, lassen sich nämlich mühelos an einer Hand abzählen.
Falls für Sie die fehlende Unterstützung bisher ein Grund war, Ihre .ch-Domain nicht bei uns unterzubringen, haben wir gute Neuigkeiten.
DNSSEC auch bei uns
Ab sofort steht DNSSEC für alle Domainendungen zur Verfügung, die mit der Erweiterung kompatibel sind. Wie bei uns üblich, ist die Verwaltung der Option ein Kinderspiel. Da unsere eigenen Nameserver die Erweiterung (noch) nicht vollständig unterstützen, benötigen Sie für Ihre Domain vorerst externe Nameserver. Sie sehen die passende Option in Ihrem my.cyon-Konto daher nur, wenn für Ihre Domain nicht die cyon-Nameserver hinterlegt sind.
Hinterlegen Sie die DNSSEC-Einträge für Ihre Domain.
Geteilte Meinungen
Das Eintragen fehlerhafter DNSSEC-Informationen kann dazu führen, dass Ihre Domain nicht mehr erreichbar ist. Bitte verwenden Sie die Funktion deshalb nur, wenn Sie mit der Materie vertraut sind. Ob DNSSEC wirklich eine sinnvolle Lösung darstellt, darüber streiten sich übrigens die Sicherheitsexperten. Das Thema wird immer wieder heiss diskutiert.
Möchten Sie mehr zu DNSSEC erfahren? Dann empfehlen wir Ihnen die Informationsseite von SWITCH. Vor allem die dort verlinkte Broschüre liefert einen guten Einblick in das Thema.
Beteilige dich an der Diskussion
28 Kommentare
Gibt es schon eine Aussicht darauf, wann DNSSEC zur Verfügung steht?
Wir arbeiten zurzeit aktiv an der Implementierung von DNSSEC, einen konkreten Termin kann ich Dir aktuell aber noch nicht nennen.
Wie sieht es aus?
Wird noch daran gearbeitet. Gibt es einen voraussichtlichen Release-Termin?
Hey Fabian, am Projekt wird zurzeit aktiv gearbeitet. Einen Release-Termin kann ich Dir aktuell noch nicht nennen.
Gibt es Neuigkeiten zu diesem Thema?
Am Projekt wird aktiv gearbeitet, einen konkreten Release-Termin kann ich Dir aktuell noch nicht nennen.
Es scheint langsam Zeit zu werden, DNSSEC direkt zu unterstützen:
https://www.heise.de/ct/artikel/DNSpionage-Massive-Angriffe-auf-Mail-und-VPN-User-4333644.html?wt_mc=rss.ho.beitrag.atom
Hallo Philipp, ist absehbar ob DNSSEC im Laufe des Jahres 2019 auf Euren Nameservern unterstützt wird?
Hallo Marco. Das Projekt zur Umstellung unseres DNS-Setups ist schon sehr weit fortgeschritten, einen konkreten Zeitpunkt kann ich Dir zum jetzigen Zeitpunkt jedoch noch nicht nennen.
Wie sieht es aus? Inzwischen ist ja einige Zeit vergangen…
Wir sind zurzeit daran, unsere Nameserver auf die neue Lösung (PowerDNS) umzustellen. Mit PowerDNS ist dann die Voraussetzung geschaffen, dass wir auch DNSSEC für Zonen anbieten können, die auf unseren Nameservern hinterlegt sind. Stay tuned :)
Hallo Cyon
Bisher wurde immer nur nach der Implementierung bei euren Nameservern gefragt – aber wie sieht es bei euch selber aus?
Bisher ist cyon.ch noch nicht signiert:
https://dnssec-debugger.verisignlabs.com/cyon.ch
Wir nutzen für cyon.ch unsere eigenen Nameserver, die zurzeit noch nicht ganz bereit für DNSSEC sind. Wir arbeiten daran :)
Hallo Cyon Team
Könnt ihr hier bitte wieder einen aktuellen Status posten?
Mittlerweile steigen ja selbst im «DNSSEC Entwicklungsland Schweiz» (nicht mein Terminus J : https://www.digitale-gesellschaft.ch/2017/03/20/it-sicherheit-die-schweiz-und-dnssec/ ) die Anzahl von signierten Domains explosionsartig: https://securityblog.switch.ch/tag/dnssec/
Besten Dank und freundliche Grüsse
Peter
Hallo Peter, danke fürs Nachhaken. Das Projekt war in der Zwischenzeit aufgrund von Abhängigkeiten zur von uns eingesetzten Administrations-Software auf Eis gelegt, wird aber in den kommenden Sprints wieder aktiv vorangetrieben. Eine konkrete Zeitangabe, wann die Funktion verfügbar sein wird, kann ich aktuell noch nicht machen.
Hallo Cyon Team
Hat sich inzwischen etwas in dieser Thematik bewegt? Besten Dank für ein kurzes Feedback.
Hallo Daniel. Wir warten momentan darauf, dass der neue Nameserver DNSSEC auch in einer Cluster-Umgebung unterstützt. Ich kann aktuell noch nicht abschätzen, wann das der Fall sein wird. Das Thema ist bei uns natürlich weiterhin auf der Roadmap :)
Ich schliesse mich an den Kommentar von Marco an: Ist die Umstellung auf den neuen DNS-Server mit DNSSEC definitiv?
Falls ja:
– Wann ungefähr wird die Aufschaltung erfolgen?
– Erfolgt das Key-Rollover automatisch?
– Welche und wie viele RR Records werden unterstützt? (DANE, SSHFP ?)
– Wird NSEC3 unterstützt oder nur NSEC?
– Sind die Nameserver geografisch verteilt (Stichwort Anycast)?
Hallo Eduard, merci für die Nachfrage. Die Umstellung auf den neuen DNS-Server ist weiterhin geplant. Genauere Details kann ich Dir dazu aber noch nicht nennen.
Hallo zusammen! Inzwischen ist ja bereits wieder ein wenig Zeit vergangen. Wie sieht es heute aus? Unterstützen Eure Server nun DNSSEC?
Sommerliche Grüsse
Marco
Hallo Marco. Wir haben Pläne, einen anderen DNS-Server zu verwenden. Dieser würde dann auch DNSSEC unterstützen. Die Umstellung wird jedoch nicht vor Mitte 2017 stattfinden.
Würde das Thema gerne nochmal ansprechen. Ich würde einen DNSSEC Support für cyon.ch auch begrüssen.
Scheinbar wäre es doch auch für einen sicheren Mailversand per SMTP sinnvoll? (siehe: https://blog.filippo.io/the-sad-state-of-smtp-encryption/)
Arno, danke für Deinen Kommentar. Die Meinungen zu DNSSEC sind gespalten (http://sockpuppet.org/blog/2015/01/15/against-dnssec/. Uns hindern zurzeit noch technische Einschränkungen in unserer Verwaltungssoftware, um DNSSEC auch für unsere Nameserver anzubieten. Die Funktion steht auf unserer Roadmap, momentan kann ich aber noch keinen verbindlichen Zeitpunkt nennen.
Würde mich auch über eine Unterstützung freuen.
Wann werden die Nameserver von cyon DNSSEC unterstützen?
Dazu haben wir noch nichts Konkretes geplant. Die Nachfrage ist aktuell sehr gering.
Toll, dass ihr das Feature anbietet, für die die’s brauchen :)
LG David
Hi zusammen
Apropos DNS. Wird cyon DNS-over-TLS unterstützen?
Grüsse
Tobias