Einsatz von DNSSEC

Video-Tutorial ansehen

DNSSEC ist die Erweiterung des DNS-Protokolls, die die Signierung von DNS-Daten ermöglicht, um für eine sichere Auflösung von Domainnamen zu sorgen. Allgemeine Informationen zu DNSSEC und der Nutzung finden Sie auf der ICANN-Website und in diesen Vorgehensweisen für den Einsatz von DNSSEC.

In Plesk können Sie die DNS-Daten von gehosteten Domains mithilfe von DNSSEC schützen. Ihnen stehen folgende Optionen zur Verfügung:

  • Einstellungen für Schlüsselerstellung und Rollover konfigurieren
  • Domainzonen gemäß den DNSSEC-Spezifikationen signieren und Signierung aufheben
  • Benachrichtigungen erhalten
  • DS-Ressourceneinträge aufrufen und kopieren
  • DNSKEY-Ressourceneinträge aufrufen und kopieren

Anforderungen

  • Plesk für Linux mit dem Bind-DNS-Server oder Plesk für Windows mit dem Microsoft-DNS-Server.
  • DNSSEC ist eine kostenpflichtige Erweiterung. Sie ist in den Plesk Editionen Web Host und Web Pro kostenlos verfügbar.

Aktivieren der Unterstützung für DNSSEC

Um die Unterstützung von DNSSEC zu aktivieren, installieren Sie die Erweiterung Plesk DNSSEC unter Erweiterungen > Katalog der Erweiterungen.

Konfigurieren der DNSSEC-Standardeinstellungen

Die DNSSEC-Standardeinstellungen finden Sie unter Tools & Einstellungen > Erweiterungen > DNSSEC. Sie können die Standardrichtlinie für die Erstellung von Schlüsselsignaturschlüsseln (Key Signing Key, KSK) und Zonensignaturschlüsseln (Zone Signing Key, ZSK) ändern.

Die empfohlene Richtlinie für KSK und ZSK:

  • Langer Schlüssel und langer Rollover-Zeitraum für KSK (Schlüsselsignaturschlüssel)

    Bei jedem Update des KSK muss der Zoneninhaber die DS-Einträge in der übergeordneten Domainzone aktualisieren. Dank der empfohlenen Richtlinie können DS-Einträge in der übergeordneten Zone so selten wie möglich aktualisiert werden, ohne dabei die Sicherheit zu verringern.

  • Kürzerer Schlüssel und kürzerer Rollover-Zeitraum für ZSK (Zonensignaturschlüssel)

    Der Zonensignaturschlüssel wird automatisch aktualisiert. Mit der empfohlenen Richtlinie können Sie Systemressourcen einsparen, ohne dabei die Sicherheit einzuschränken.

Wenn Hosting-Kunden ihre Zone signieren, können sie die Standardwerte verwenden oder andere Werte angeben.Mehr Informationen dazu finden Sie unter Verwenden von DNSSEC auf Domains.

image-DNSSEC-main-screen

Schutz der DNS-Zonen mit DNSSEC

Um DNSSEC zu verwenden, müssen Domaininhaber ihre DNS-Zonen signieren.Mehr Informationen dazu finden Sie unter Verwenden von DNSSEC auf Domains.

Funktionsweise eines Schlüsselrollovers in Plesk

Um den DNS-Ausfall für eine Domain zu verhindern, werden in Plesk nicht nur ein KSK und ZSK verwendet. Ein zuvor generierter Schlüssel ist neben dem neuen Schlüssel für einige Zeit vorhanden, damit alle Änderungen in einer DNS-Zone umgesetzt werden. Obsolete Schlüssel werden automatisch entfernt.

KSK-Rollover

In Plesk wird eine Variante der Methode Double-RRset für das KSK-Rollover eingesetzt. Der Unterschied zur ursprünglichen Methode liegt darin, dass in Plesk zwei Schlüsselsignaturschlüssel in der Rollover-Phase vorhanden sind. Dadurch hat der Inhaber der Domainzone genug Zeit, die entsprechenden DS-Einträge in der übergeordneten Zone zu aktualisieren (z. B. die Zeitspanne zwischen Rollover-Ereignis 1 und 2 im Schema unten).

Benutzeraktionen beim KSK-Rollover

Der Domainzoneninhaber wird über das Rollover informiert und darauf hingewiesen, dass er die DS-Einträge in der übergeordneten Zone aktualisieren muss. Die DS-Einträge werden obsolet, wenn der älteste KSK abläuft und der neueste KSK generiert wird (z. B. beim Rollover-Ereignis 2 im Schema unten). Wenn der Domainzoneninhaber die DS-Einträge in der übergeordneten Zone nicht aktualisiert, wird am Ende einer Rollover-Phase nach einer Benachrichtigung die Auflösung angehalten.

Bemerkung

Der Text der Benachrichtigung für den Domain-Zoneninhaber kann derzeit nicht angepasst werden.

image-76537.png

ZSK-Rollover

Damit genug Zeit für die Synchronisierung von sekundärem DNS-Server und DNS-Caching-Server mit dem primären DNS-Server bleibt, wird in Plesk Folgendes durchgeführt:

  • Ein neuer Schlüssel wird zu einem bestimmten Zeitpunkt vor dem Rollover zur Zone hinzugefügt.
  • Der vorherige Schlüssel wird zum gleichen Zeitpunkt nach dem Rollover entfernt.

Die Zeitspanne vor und nach dem ZSK-Rollover wird in Plesk Übergangszeitraum genannt. Der Übergangszeitraum ist entweder 30 Tage oder die Summe der SOA TTL- und SOA Expire-Werte der Zone (falls die Summe über 30 Tage liegt). Der Übergangszeitraum kann jedoch nicht länger sein als die halbe ZSK-Rollover-Dauer, da die Rollover-Funktion sonst unterbrochen wird und die Zonensignaturen ungültig werden.

Um sicherzustellen, dass das ZSK-Rollover korrekt durchgeführt wird, legt Plesk Grenzwerte für die folgenden Werte fest:

  • SOA TTL- und SOA Expire-Werte der Zone. Die Summe der beiden Werte darf einen bestimmten berechneten Wert nicht überschreiten.
  • ZSK-Rollover-Dauer: Sie kann nicht unter einem bestimmten berechneten Wert liegen.

Benutzeraktionen beim ZSK-Rollover

Beim ZSK-Rollover müssen die Inhaber der Domain-DNS-Zonen nicht eingreifen.

image-76538.png