DNSSEC

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

DNSSEC garantiert mittels kryptografischer Unterschriften, dass DNS-Antworten nicht unerkannt manipuliert werden können und ermöglicht so, Daten sicher im DNS zu publizieren. Praktisch jede Transaktion im Internet beginnt mit einer DNS-Anfrage, sei es das Aufrufen einer Webseite, der Versand von E-Mails, Instant Messaging oder Online-Banking. Mit DNSSEC wird verhindert, dass eine Verbindung mittels gefälschter DNS-Antworten auf einen falschen Server umgeleitet wird.

DNSSEC bietet zudem die Grundlage für andere Sicherheitsmechanismen. Beispielsweise können mittels DANE E-Mails ohne Einbezug von Drittparteien (Certificate Authorities) verschlüsselt und garantiert an den korrekten Ziel-Server zugestellt werden. In Kombination mit Technologien wie TLS werden somit Internet-Transaktionen auf mehreren Ebenen abgesichert.

Die Kommunikation im Internet verwendet weitestgehend das DNS, um Informationen nachzuschlagen. Da das DNS-Protokoll aber noch aus den Anfängen des Internets stammt, wurde beim Entwurf nicht auf den Sicherheitsaspekt geachtet. DNSSEC sichert ein sonst unsicheres DNS-Protokoll ab und verbessert somit die Sicherheit der gesamten Kommunikation im Internet.

Als Internetnutzer müssen Sie nichts unternehmen. Wenn der Anbieter Ihres Internetzugangs DNSSEC unterstützt, erfolgen alle Überprüfungen der Unterschriften auf dessen DNS-Servern.

Wenn Sie als Halter Ihren Domain-Namen mit DNSSEC schützen möchten, muss dies der Betreiber der Name-Server für Sie einrichten. Falls die Name-Server von Ihrem Webhosting-Anbieter betrieben werden, wenden Sie sich an den Webhoster. Falls Sie oder Ihre Firma die Name-Server selber betreiben, wenden Sie sich an die interne IT-Abteilung.

Die Grafik zeigt die Anzahl DNSSEC-signierter .li-Domain-Namen jeweils am Ersten jedes Monats seit der Einführung von DNSSEC bei SWITCH im Jahre 2010.

Anzahl .li-Domain-Namen mit DNSSEC

Für Name-Server-Betreiber publizieren wir hier die aktuellen DNSSEC-Schlüssel der Top Level Domains .ch und .li.

Wichtig: Die Schlüssel der Top Level Domains .ch und .li sollten nicht direkt als Trust Anchor in Ihren Name-Servern konfiguriert werden. Verwenden Sie statt dessen ausschliesslich die Schlüssel der Root-Zone. Unsere Schlüssel sind hier lediglich zur Überprüfung aufgeführt.

Aktuelle DNSSEC-Schlüssel

CH: Schlüssel 55966, geplante Gültigkeit bis 16. Dezember 2020

DS 55966 13 2 CEB479416E4EFD770800434BE1245E1B10D4CF018255C11D8544C448FA032B32

LI: Schlüssel 30904, geplante Gültigkeit bis 16. Dezember 2020

DS 30904 13 2 63725534B907CFC0E2326A640327C70C8E44D747AABEEF0D1A14AFB7836A7894

Das Dokument "Key Management Practice Statement" beschreibt, wie SWITCH mit dem kryptographischen Keymaterial im Zusammenhang mit DNSSEC umgeht. Es erklärt, wie die Schlüssel generiert und gespeichert werden und wann sie ihre Gültigkeit verlieren.

Key Management Practice Statement (englisch)

Registrare für .li

Neue .li-Domain-Namen registrieren: Bitte wählen Sie einen der Registrare.
Bereits registrierte Domain-Namen: Bitte wenden Sie sich für Änderungen an den Registrar, der Ihren Domain-Namen verwaltet.

Liste aller Registrare

Domain-Namen-Suche (Whois)

Ist Ihr gewünschter .li-Domain-Name noch frei?

Domain-Namen-Suche