DNSSEC für Domaininhaber

Welche Abläufe sind wichtig, wenn DNSSEC-Schlüssel vom Domaininhaber verwaltet werden?

Wenn der Kunde die DNSSEC-Schlüssel selbst verwaltet, wird er an Dritte nur den öffentlichen Schlüssel herausgeben. Der Kunde muss dementsprechend seine Zonen selbst signieren muss und diese dann entweder auf seinen Nameservern veröffentlicht oder diese an seinen Domain- oder DNS-Provider weitergibt. Zusätzlich muss er seinem Domainprovider den öffentlichen Teil des Key-Signing-Keys mitteilen, damit dieser die DNSSEC-Delegation in der übergeordneten Zone durchführen kann.

Bei allen Schlüsselwechseln sollte sich der Kunde an die in RFC4641 DNSSEC Operational Practices beschriebenen Abläufe zum Schlüsselwechsel halten, da ansonsten die Gefahr besteht, Validierungsfehler zu erzeugen. Grundsätzlich ist die manuelle Betreuung von Schlüsselwechseln mit einem hohen Risiko verbunden, eine fehlerhafte Konfiguration zu erzeugen. Im Idealfall sollte der Kunde die DNSSEC-Schlüsselverwaltung sowie die Eintragung bei der Registry einem automatisierten Prozess beim DNS-Provider oder beim Domainprovider überlassen.

Verwandte Artikel:

Es ist möglich, diesen Artikel zu kommentieren.