Übersicht zu DNS-Sicherheitserweiterungen (DNSSEC)

DNS-Sicherheitserweiterungen (Domain Name System Security Extensions, DNSSEC) ist ein Feature des Domain Name System (DNS), mit dem Antworten auf Domainnamenabfragen authentifiziert werden können. DNSSEC bietet keinen Datenschutz für diese Suchvorgänge, verhindert jedoch, dass Angreifer die Antworten auf DNS-Anfragen verfälschen oder manipulieren.

Damit DNSSEC Domains vor Spoofing- und Cache-Poisoning-Angriffen schützen kann, sind in den folgenden Bereichen Aktivierungen und Konfigurationen erforderlich:

1. Die DNS-Zone. Wenn Sie DNSSEC für eine Zone aktivieren, verwaltet Cloud DNS automatisch das Erstellen und Drehen von DNSSEC-Schlüsseln (DNSKEY-Einträgen) und das Signieren von Zonendaten mit digitalen Signaturdatensätzen von Ressourceneinträgen (RRSIG).

2. Die Top-Level-Domain-Registry (TLD) (für example.com wäre dies .com). In Ihrer TLD-Registry muss ein DS-Eintrag vorhanden sein, mit dem ein DNSKEY-Eintrag in Ihrer Zone authentifiziert wird. Dafür müssen Sie bei Ihrem Domain-Registrator DNSSEC aktivieren.

3. Der DNS-Resolver. Damit vollständiger DNSSEC-Schutz besteht, müssen Sie einen DNS-Resolver verwenden, der Signaturen für DNSSEC-signierte Domains validiert. Sie können die Validierung für einzelne Systeme oder Ihre lokalen Caching-Resolver aktivieren, wenn Sie die DNS-Dienste Ihres Netzwerks verwalten.

   Weitere Informationen zur DNSSEC-Validierung finden Sie in den folgenden Ressourcen:

   • Ist die DNSSEC-Validierung aktiviert?
   • DNSSEC mit BIND- und Ubuntu-Server bereitstellen (Teil 1)
   • DNSSEC-Leitfaden: Kapitel 3. Validation
   • DNSSEC

   Außerdem können Sie Systeme so konfigurieren, dass öffentliche Resolver verwendet werden, die DNSSEC validieren, insbesondere Google Public DNS und Verisign Public DNS.

Mit dem Vorgang unter Punkt 2 werden die Domainnamen eingeschränkt, mit denen DNSSEC funktioniert. Sowohl Registrator als auch Registry müssen DNSSEC für die von Ihnen verwendete TLD unterstützen. Wenn Sie über Ihren Domain-Registrator keinen DS-Eintrag hinzufügen können, um DNSSEC zu aktivieren, hat die Aktivierung von DNSSEC in Cloud DNS keine Auswirkungen.

Lesen Sie sich vor dem Aktivieren von DNSSEC die folgenden Ressourcen durch:

• Die DNSSEC-Dokumentation für Ihren Domain-Registrator und Ihre TLD-Registry
• Die Anleitung für Domain-Registratoren in der Anleitung der Google Cloud Community
• Die ICANN-Liste zur DNSSEC-Unterstützung von Domain-Registratoren, um zu prüfen, ob Ihre Domain von DNSSEC unterstützt wird

Wenn die TLD-Registry DNSSEC unterstützt, Ihr Registrator sie jedoch nicht bzw. nicht für diese TLD unterstützt, können Sie Ihre Domains eventuell zu einem anderen Registrator übertragen, der entsprechende Unterstützung bietet. Nachdem Sie diesen Vorgang abgeschlossen haben, können Sie DNSSEC für die Domain aktivieren.

Verwaltungsvorgänge

Eine Schritt-für-Schritt-Anleitung zum Verwalten von DNSSEC finden Sie in den folgenden Ressourcen:

• Informationen zum Ändern des DNSSEC-Status der Zone von Transfer in On finden Sie unter DNSSEC-Übertragungsstatus verlassen.

• Informationen zum Aktivieren von DNSSEC für delegierte Subdomains finden Sie unter DNSSEC-signierte Subdomains delegieren.

Durch DNSSEC erweiterte Datensatztypen

Weitere Informationen zu Datensatztypen und anderen Eintragstypen finden Sie in den folgenden Ressourcen:

• Informationen darüber, welche öffentlichen Zertifizierungsstellen (Certification Authority Authorization, CAA) TLS- oder andere Zertifikate für Ihre Domain erzeugen können, finden Sie unter CAA-Einträge.

• Informationen zum Aktivieren der opportunistischen Verschlüsselung über IPsec-Tunnel finden Sie unter IPSECKEY-Einträge.

DNS-Eintragstypen mit DNSSEC-gesicherten Zonen

Weitere Informationen zu DNS-Eintragstypen und anderen Eintragstypen finden Sie in der folgenden Ressource:

• Informationen zum Aktivieren von SSH-Clientanwendungen zur Validierung von SSH-Servern finden Sie unter SSHFP-Einträge.

Migration oder Übertragung von DNSSEC-fähigen Zonen

Cloud DNS unterstützt die Migration von DNSSEC-aktivierten Zonen, für die DNSSEC bei der Domainregistrierung aktiviert wurde, ohne die Vertrauenskette zu unterbrechen. Sie können Zonen zu oder von anderen DNS-Betreibern migrieren, die die Migration ebenfalls unterstützen.

• Informationen zum Migrieren einer DNSSEC-signierten Zone zu Cloud DNS finden Sie unter DNSSEC-signierte Zonen zu Google Cloud DNS migrieren.

• Informationen zum Migrieren einer DNSSEC-signierten Zone zu einem anderen DNS-Operator finden Sie unter DNSSEC-signierte Zonen von Google Cloud DNS migrieren.

Wenn Ihre vorhandene Domain von Ihrem Registrar gehostet wird, empfehlen wir Ihnen, die Nameserver zu Cloud DNS zu migrieren, bevor Sie sie zu einem anderen Registrar übertragen.

Nächste Schritte

• Informationen zum Ansehen von DNSSEC-Schlüsseldatensätzen finden Sie unter DNSSEC-Schlüssel aufrufen.
• Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.