DNSSEC für Internetnutzer

Kommen Internetnutzer (oder deren Rechner) direkt mit DNSSEC in Berührung?

Üblicherweise verwenden Betriebssysteme die vom Zugangsprovider mitgeteilten DNS-Server oder einen Zugangsrouter, der wiederum einen DNS Proxy zur Verfügung stellt und die Anfragen an die vom Zugangsprovider mitgeteilten DNS-Server weiterleitet. Die Validierung von DNSSEC signierten DNS-Daten findet daher nicht auf dem Rechner eines Internetnutzers statt. Liefert ein vorgeschalteter validierender Resolver eine Fehlermeldung beim Auflösen eines Domainnamens, so kann dies - neben vielen anderen Gründen - an einer fehlerhaften DNSSEC-Validierung und somit an gefälschten DNS Daten liegen. Die direkte Auswirkung für den Nutzer stellt sich in der Nicht-Erreichbarkeit der Domain dar.

Jedem Internetnutzer ist es freigestellt, die DNS Server des Zugangsprovider oder aber einen eigenen Resolver zu verwenden. Dieser kann entweder auf dem Zugangsrouter oder dem benutzten Rechner selbst realisiert werden. Diese Resolver können dann DNSSEC-Antworten direkt und eigenständig validieren.

Verwandte Artikel:

Es ist möglich, diesen Artikel zu kommentieren.