DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren. Praktisch jede Transaktion im Internet beginnt mit einer DNS-Anfrage, sei es das Aufrufen einer Webseite, der Versand von E-Mails, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen falschen Server umgeleitet wird.

DNSSEC bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authorities) verschlüsselt und garantiert an den korrekten Ziel-Server zugestellt werden. In Kombination mit Technologien wie TLS werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die Kommunikation im Internet verwendet weitestgehend das DNS, um Informationen nachzuschlagen. Da das DNS-Protokoll aber noch aus den Anfängen des Internets stammt, wurde beim Entwurf nicht auf den Sicherheitsaspekt geachtet. DNSSEC sichert ein sonst unsicheres DNS-Protokoll ab und verbessert somit die Sicherheit der gesamten Kommunikation im Internet.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter .li-Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .li-Domain-Namen mit DNSSEC

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 58852, geplante Gültigkeit bis 26. Dezember 2018

DS 58852 8 2 A14E7E746D70F96F0AA20B326C5903F294AACB2C8C720B73CA369FE611F565C4

LI: Schlüssel 13066, geplante Gültigkeit bis 26. Dezember 2018

DS 13066 8 2 BAF289902CF37AE48AEB2231596385A7CC3C65ACAA8E5FE9E5294E0C488D5B12

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)

Registrare für .li

Neue .li-Domain-Namen registrieren: Bitte wählen Sie einen der Registrare.
Bereits registrierte Domain-Namen: Bitte wenden Sie sich für Änderungen an den Registrar, der Ihren Domain-Namen verwaltet.

Liste aller Registrare

Domain-Namen-Suche (Whois)

Ist Ihr gewünschter .li-Domain-Name noch frei?

Domain-Namen-Suche