DNSSEC ist das Protokoll, das die Integrität der DNS-Auflösung gewährleistet, indem es eine Vertrauenskette bis zur Root aufbaut. Die Datensicherheit wird durch einen Mechanismus aus kryptografischen Schlüsseln gewährleistet, die die DNS-Einträge der Zonen signieren. Historisch gesehen verwenden DNS-Betreiber Schlüssel vom Typ RSA (RSASHA256-Algorithmus), die für ihre Zuverlässigkeit bekannt sind.
Als Alternative zu diesem asymmetrischen kryptografischen Algorithmus gibt es Algorithmen mit elliptischer Kurve. Im Fall von DNSSEC bietet insbesondere der Algorithmus „ECDSA Curve P-256 with SHA-256“ (RFC 6605 und 8624) ein höheres Sicherheitsniveau bei kürzeren Schlüsseln.
Der ECDSA-Algorithmus wird zunehmend von den wichtigsten Akteuren der Domainnamenindustrie wie Verisign oder AFNIC implementiert und könnte Branchenexperten zufolge bald zum Standard werden.
Der Algorithmus bietet mehrere Vorteile im Vergleich zu unserer aktuellen Implementierung:
- Kürzere Signaturen und weniger große Zonendateien (ca. -33%)
- Schnellere Übertragung und Neuladen von Zonen
- Verbesserte Leistung bei der Signatur
- Potenziell schnellere DNS-Anfragen (weniger Einsatz von IP-Fragmentierung)
- Verringerung des Verstärkungsfaktors von DNS-basierten DDoS-Angriffen
Nameshield hat sich daher dafür entschieden, diesen Algorithmus standardmäßig zu verwenden, um eigene Domainnamen und die seiner Kunden zukünftig noch besser abzusichern.
Bildnachweis: Nameshield with storyset.com
