Passwort - der Podcast von heise security DNSSEC, die DNS Security Extensions
Jul 30, 2025
Peter Thomassen, DNSSEC-Experte und Betreiber von deSEC, beleuchtet die Sicherheitsaspekte des Domain Name Systems. Er erklärt, wie DNSSEC die Integrität von Daten garantiert und welche Herausforderungen bei der Automatisierung bestehen. Themen wie Malware in TXT-Records und die Notwendigkeit von Schlüsselrotation treten deutlich hervor. Außerdem diskutiert er die Post-Quantum-Bedrohung und den Einfluss auf die Kryptoagilität von DNSSEC. Praktische Tipps zur Aktivierung von DNSSEC bieten Hörern einen sofortigen Einstieg.
AI Snips
Chapters
Transcript
Episode notes
DNSSEC Sichert Integrität, Nicht Vertraulichkeit
- DNSSEC garantiert nicht Vertraulichkeit oder Verfügbarkeit, sondern Integrität der DNS-Antworten.
- Signaturen erlauben Resolvern, Manipulationen zu erkennen und gefälschte Antworten zu verwerfen.
Schlüsselhierarchie Spiegelt DNS-Hierarchie
- DNSSEC baut eine Schlüsselhierarchie passend zur Namenshierarchie und nutzt DS-Einträge zur Verknüpfung.
- Der Root-Validierungsschlüssel ist fest in Resolvern verankert und bildet die Vertrauenskette.
Kurzlebige Signaturen Und Automatisches Re-Signing
- Plane kurze Signatur-Lebenszeiten (Tage) und automatisierte periodische Neusignierung ein.
- Nutze automatische Software, damit Replay-Angriffe durch veraltete Signaturen begrenzt bleiben.