DNSSEC-Check

Was ist DNSSEC?

DNSSEC (Domain Name Security Extensions) erweitert das Domain Name System um kryptografische Signaturen. Das klassische DNS-Protokoll wurde in den 1980er Jahren ohne Sicherheitsmechanismen entworfen — jede DNS-Antwort wird ungeprüft akzeptiert, unabhängig davon, ob sie authentisch ist oder von einem Angreifer manipuliert wurde. Diese Schwäche ermöglicht DNS-Spoofing, bei dem Angreifer gefälschte DNS-Antworten einschleusen und Nutzer unbemerkt auf schädliche Server umleiten. DNSSEC löst dieses Problem, indem es jede DNS-Antwort digital signiert und dem auflösenden Resolver ermöglicht, die Authentizität und Integrität der Daten zu verifizieren.

Für Unternehmen ist DNSSEC besonders relevant, weil DNS die Grundlage nahezu aller Netzwerkkommunikation bildet. Ob Webseiten, E-Mails, VPN-Verbindungen oder API-Aufrufe — ohne korrekte DNS-Auflösung funktioniert nichts. Ein erfolgreicher DNS-Spoofing-Angriff kann dazu führen, dass Mitarbeitende auf gefälschten Login-Seiten ihre Zugangsdaten eingeben oder dass vertrauliche Daten an angreiferkontrollierte Server gesendet werden. Unter der NIS2-Richtlinie sind DNS-Dienste zudem größenunabhängig reguliert, was die Absicherung der DNS-Infrastruktur zur Compliance-Pflicht macht.

Die Vertrauenskette: DS, DNSKEY und RRSIG

DNSSEC basiert auf einer hierarchischen Vertrauenskette (Chain of Trust), die von der DNS-Root-Zone bis zur einzelnen Domain reicht. Jede DNS-Zone besitzt ein Schlüsselpaar: den Zone Signing Key (ZSK), der die eigentlichen DNS-Records signiert, und den Key Signing Key (KSK), der den ZSK signiert. Die resultierenden Signaturen werden als RRSIG-Records im DNS veröffentlicht.

Die Verknüpfung zwischen übergeordneter und untergeordneter Zone erfolgt über DS-Records (Delegation Signer). Die übergeordnete Zone — etwa .de für eine .de-Domain — veröffentlicht einen DS-Record, der einen Hash des DNSKEY der untergeordneten Zone enthält. So entsteht eine lückenlose Kette: Der Resolver vertraut der Root-Zone (deren Schlüssel er kennt), die Root-Zone bestätigt .de, und .de bestätigt Ihre Domain. Nur wenn jedes Glied dieser Kette intakt ist, gilt die DNSSEC-Validierung als erfolgreich.

Unser Tool prüft genau diese Kette. Es analysiert, ob DS-Records bei der übergeordneten Zone hinterlegt sind, ob die DNSKEY-Records in der Zone vorhanden und konsistent sind und ob die RRSIG-Signaturen gültig und nicht abgelaufen sind. Ein fehlender DS-Record oder ein abgelaufenes RRSIG bricht die gesamte Vertrauenskette — und damit den DNSSEC-Schutz.

Authenticated Denial of Existence: NSEC und NSEC3

Eine besondere Herausforderung bei DNSSEC ist der Beweis, dass ein bestimmter DNS-Record nicht existiert. Ohne einen solchen Mechanismus könnte ein Angreifer eine gefälschte „Domain existiert nicht"-Antwort einschleusen und so die Erreichbarkeit einer legitimen Domain blockieren. DNSSEC löst dieses Problem mit zwei Verfahren.

NSEC (Next Secure) listet den alphabetisch nächsten existierenden Domainnamen auf und ermöglicht so den Beweis, dass zwischen zwei Namen kein weiterer existiert. Der Nachteil: Ein Angreifer kann durch systematisches Abfragen aller NSEC-Records den gesamten Zoneninhalt rekonstruieren — ein Verfahren, das als Zone Walking bekannt ist. Für Unternehmen, die ihre interne DNS-Struktur nicht offenlegen möchten, ist das problematisch.

NSEC3 wurde als Antwort auf dieses Problem entwickelt. Statt der Klartextnamen verwendet es gehashte Werte, die ein Zone Walking erheblich erschweren. Die meisten modernen DNSSEC-Implementierungen setzen auf NSEC3. Unser Tool erkennt, welches Verfahren Ihre Domain nutzt, und gibt eine entsprechende Empfehlung.

Algorithmus-Empfehlungen

Die Sicherheit von DNSSEC steht und fällt mit den verwendeten kryptografischen Algorithmen. Ältere Algorithmen wie RSA/SHA-1 (Algorithmus 5) gelten als unsicher und sollten nicht mehr eingesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die IETF empfehlen aktuell ECDSAP256SHA256 (Algorithmus 13) oder ECDSAP384SHA384 (Algorithmus 14) als Standard. Diese elliptischen Kurven bieten bei kürzeren Schlüssellängen eine höhere Sicherheit als RSA und erzeugen kleinere Signaturen, was die DNS-Antwortgrößen reduziert und die Performance verbessert.

Auch Ed25519 (Algorithmus 15) gewinnt zunehmend an Verbreitung und bietet exzellente Performance bei hohem Sicherheitsniveau. Bei der Wahl des Algorithmus sollte jedoch die Unterstützung durch den eigenen DNS-Provider und die Resolver der Zielgruppe berücksichtigt werden — ECDSA P-256 ist derzeit die sicherste Wahl mit der breitesten Kompatibilität.

DNSSEC im Kontext der DNS-Sicherheit

DNSSEC ist ein wesentlicher Baustein der DNS-Sicherheit, ersetzt aber nicht alle anderen Schutzmaßnahmen. Es schützt die Integrität und Authentizität von DNS-Antworten, verschlüsselt jedoch nicht die DNS-Abfragen selbst. Dafür sind ergänzende Protokolle wie DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) notwendig, die verhindern, dass ein Angreifer im Netzwerkpfad die DNS-Kommunikation mitlesen kann.

Für eine umfassende Domain-Absicherung sollte DNSSEC gemeinsam mit der E-Mail-Authentifizierung betrachtet werden. SPF, DKIM und DMARC setzen allesamt auf DNS-Records auf — wenn DNS-Antworten manipulierbar sind, können auch diese Schutzmechanismen ausgehebelt werden. DNSSEC stellt sicher, dass die DNS-Records, auf denen die E-Mail-Authentifizierung basiert, nicht gefälscht werden können. In diesem Sinne bildet DNSSEC das Fundament, auf dem alle weiteren DNS-basierten Sicherheitsverfahren aufbauen.

Ob Ihre Domain DNSSEC korrekt implementiert hat, zeigt unser Tool in wenigen Sekunden. Es analysiert die vollständige Vertrauenskette, prüft Algorithmen und Signaturen und liefert konkrete Handlungsempfehlungen — so erkennen Sie sofort, ob Ihre DNS-Infrastruktur gegen Manipulation geschützt ist.