DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren. Praktisch jede Transaktion im Internet beginnt mit einer DNS-Anfrage, sei es das Aufrufen einer Webseite, der Versand von E-Mails, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen falschen Server umgeleitet wird.

DNSSEC bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authorities) verschlüsselt und garantiert an den korrekten Ziel-Server zugestellt werden. In Kombination mit Technologien wie TLS werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die Kommunikation im Internet verwendet weitestgehend das DNS, um Informationen nachzuschlagen. Da das DNS-Protokoll aber noch aus den Anfängen des Internets stammt, wurde beim Entwurf nicht auf den Sicherheitsaspekt geachtet. DNSSEC sichert ein sonst unsicheres DNS-Protokoll ab und verbessert somit die Sicherheit der gesamten Kommunikation im Internet.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter .li-Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .li-Domain-Namen mit DNSSEC

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 11648, voraussichtlicher Ersatz im Dezember 2022

DS  11648 13 2 761408E4182706F4DAED906F81B5B1677FE1752C2B0794FF3F262FA1EF760519

LI: Schlüssel 30836, voraussichtlicher Ersatz im Dezember 2022

DS 30836 13 2 EAD8752161D95D2CB1CF6DFAFC9F3AF55E9CACFAAD56857C240AF2C2C0347094

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)

Registrare für .li

Neue .li-Domain-Namen registrieren: Bitte wählen Sie einen der Registrare.
Bereits registrierte Domain-Namen: Bitte wenden Sie sich für Änderungen an den Registrar, der Ihren Domain-Namen verwaltet.

Liste aller Registrare

Domain-Namen-Abfrage

Ist Ihr gewünschter Domain-Name noch frei?

Wer ist der Registrar Ihres Domain-Namens?

Domain-Namen-Abfrage