Passwort - der Podcast von heise security DNSSEC, die DNS Security Extensions
Jul 30, 2025
Peter Thomassen, DNSSEC-Experte und Betreiber von deSEC, beleuchtet die Sicherheitsaspekte des Domain Name Systems. Er erklärt, wie DNSSEC die Integrität von Daten garantiert und welche Herausforderungen bei der Automatisierung bestehen. Themen wie Malware in TXT-Records und die Notwendigkeit von Schlüsselrotation treten deutlich hervor. Außerdem diskutiert er die Post-Quantum-Bedrohung und den Einfluss auf die Kryptoagilität von DNSSEC. Praktische Tipps zur Aktivierung von DNSSEC bieten Hörern einen sofortigen Einstieg.
AI Snips
Chapters
Transcript
Episode notes
Kurzlebige Signaturen Und Automatisches Re-Signing
- Plane kurze Signatur-Lebenszeiten (Tage) und automatisierte periodische Neusignierung ein.
- Nutze automatische Software, damit Replay-Angriffe durch veraltete Signaturen begrenzt bleiben.
Post-Quantum Erhöht Paket-Größenproblem
- DNSSEC ist kryptografisch agil, aber Post-Quantum-Algorithmen erzeugen deutlich größere Schlüssel und Signaturen.
- Größere Signaturen kollidieren mit UDP-Paketgrößen und erschweren Zustellbarkeit über DNS/UDP.
Signaturen Und Caching Dämpfen Overhead
- Jede DNS-Antwort bekommt eine RR-SIG-Signatur, und Validierungsschlüssel sind als DNSKEY abrufbar.
- Resolver cachen viele Schlüssel, sodass Validierung in der Praxis selten zusätzliche Latenz verursacht.