DNSSEC für Domaininhaber

Kann ich nur Domains mit bestimmten Endungen (z.B. .de) per DNSSEC schützen lassen?

Nein, es ist auch möglich die Schlüssel für seine Domain zu veröffentlichen, selbst wenn die übergeordnete Zone nicht DNSSEC-signiert ist. Diese Möglichkeit wird von DLV-Repositories (DLV = DNSSEC Look-aside Validation) angeboten, in denen die Schlüssel hinterlegt werden und die von validierenden Resolvern befragt werden können. Da in DLVs aber das Hinterlegen des Schlüssels ggf. ein händischer Prozess ist, muss bei einem Schlüsselwechsel auch der Schlüssel im DLV-Repository gewechselt werden.

Eine vollautomatische Nutzung von DNSSEC für Domains aller Endungen wird nur dann möglich sein, wenn alle Registries DNSSEC unterstützen und der Domainprovider alle DNSSEC-Schnittstellen der Registries für die Schlüsselveröffentlichung verwenden. Alternativ können alle validierenden Resolver ihre Informationen aus einem DLV-Repository beziehen, was aber wiederum der Konzeption des DNS-Systems widersprechen würde, da dieses System nicht hierarchisch und dezentral organisiert ist.

Verwandte Artikel:

Es ist möglich, diesen Artikel zu kommentieren.