Sicherheit
DNS-SEC schützt Ihre Domain und Ihr DNS vor Spoofing & Missbrauch.
Warum ein Unternehmen DNS-SEC konfigurieren sollte
Was ist DNS-SEC?
DNS-SEC ist eine Technologie, die Antworten des eigenen DNS kryptographisch signiert und damit absichert.
Es schützt dabei die Integrität (also Unveränderlichkeit) zwischen Quelle (also dem eigenen DNS-Server) und dem Ziel (zum Beispiel dem User-Device) im Kontext des CIA-Paradigmas (Confidentiality, Integrity, Availability) .
Was macht DNS-SEC nicht?
Availability und Confidentiality sind nicht durch DNS-SEC geschützt. Availability kann man extrem einfach und kostenlos über die (externen) DNS-Server von Cloudflare (Weltmarktführer CDN) lösen, während Vertraulichkeit im DNS-Umfeld keine wirkliche Rolle spielt (da DNS explizit ein public service ist, macht es nur sehr begrenzt Sinn diese Auflösung zu verstecken).
Ablauf eines signierten DNS-Requests
Warum Unternehmen DNS-SEC einsetzen sollten
Vertrauen
Sie zeigen Kunden und Partnern dass Sie Wert auf Sicherheit legen und dafür professionelle Teams haben.
Compliance
Die Verwendung von DNS-SEC ist best practice gemäss KRITIS & NIS2.
Wie man DNS-SEC einführt
Key-Pairs auf DNS-Server erzeugen
Bei Cloudflare (Kostenloser DNS-Server): Click auf Aktivierung von DNS-SEC
DS Records bei Registrar hinterlegen
Weiterleitung des DS-Records an den Registrar damit dieser den DS-Record in der Top-Level-Domain hinterlegen kann.
Implementierung Prüfen
Nach Implementierung und Mitteilung durch den Registrar die Implementierung überprüfen, zum Beispiel mit dem kostenlosen Tool von Verisign Labs.