DNSSEC – Schutz vor ‚Speichervergiftung‘

Die Methodik der ‚Domain Name System Security Extensions‘ (DNSSEC) wurde eingeführt, um einen vermehrten Schutz vor ‚Cache Poisoning‘ (‚Temporärspeichervergiftung‘) zu bieten. Ein Angriff auf das Domain Name System (DNS) sollte nicht mehr so leicht möglich sein, ein Missbrauch, durch den der Datenverkehr oft genug auf einen fremden Rechner umgeleitet wurde. Denial-of-Service-Attacken (DoS), das IP-Spoofing wie auch das DNS-Hijacking hatten in dieser Sicherheitslücke ihren Ursprung.
Das DNSSEC sichert den Datenverkehr durch ein Verschlüsselungsverfahren ab. Der Besitzer einer Information unterzeichnet – verkürzt dargestellt – auf dem Master-Server jeden Datenverkehr mit einem geheimen Schlüssel (‚private key‘), den nur der Empfänger mit seinem ‚public key‘ auflösen kann. Die verwendeten Schlüssel haben eine begrenzte zeitliche Gültigkeit. Zur Teilnahme an dem Verfahren ist die EDNS-Fähigkeit eines Rechners erforderlich. Diese ‚extended DNS‘ gestattet Protokoll-Erweiterungen beim Domain Name System (DNS).
Zu beachten ist, dass beim DNSSEC-Verfahren nur die ‚Verkehrswege‘ über die beteiligten Server verschlüsselt sind. Die Daten bzw. die ‚Inhalte‘ einer Nachricht bleiben weiterhin unverschlüsselt.