Welche Betriebssysteme unterstützen DNSSEC?

Thomas Klute
2010-05-18 12:35

Für alle Windows-Versionen bis inkl. Windows XP gilt: sie unterstützen DNSSEC nicht. DNSSEC-Validierung kann in diesem Fall nur durch validierende Resolver des Zugangsproviders erreicht werden. Windows 7 implementiert einen nicht-validierenden aber sicherheitbewußten Resolver (non-validating security-aware stub resolver). http://blogs.technet.com/sseshad/archive/2008/10/30/dnssec-in-windows-7.aspx

Das Betriebssystem des Rechners kann bei der Anfrage angeben, ob es die DNSSEC-Erweiterungen des DNS-Protokolls versteht und auswerten kann (zu diesem Zweck wird in der Anfrage das DNSSEC OK = DO-Bit gesetzt). Dieses DO-Bit sollte idealerweise durchgängig beginnend mit der ersten Anfrage gesetzt sein. Diese Verhalten lässt sich bei Windows 7 für einzelne Zonen separat einschalten. Das Betriebssystem erkennt danach für diese Zone sowie alle hierarchisch untergeordneten Zonen nur noch Antworten als korrekt an, bei denen das AD-Flag gesetzt ist.

Dies mag für einzelne Zonen (z.B. in einem Intranet) möglich sein, nicht allerdings für übergeordnete Zonen. Würde beispielsweise DNSSEC für .de aktiviert, so würden nicht signierte .de-Domains nicht mehr korrekt aufgelöst. Somit ist DNSSEC in Windows 7 zwar vorhanden, die Verwendung ist aber wohl als nicht praktikabel zu bezeichnen.

DNSSEC-Unterstützung für Linux ist distributionsabhängig und bisher nicht per Default aktiviert. Für eine genauere Übersicht der unterstützten Betriebssysteme siehe:

Weitere Informationen:

Durchschnittliche Bewertung: 0 (0 Abstimmungen)

Kommentieren nicht möglich