Verwenden von DNSSEC (Linux)
Video-Tutorial ansehen
DNSSEC ist die Erweiterung des DNS-Protokolls, die die Signierung von DNS-Daten ermöglicht, um die Sicherheit bei der Auflösung von Domainnamen zu gewährleisten. Allgemeine Informationen zu DNSSEC und der Nutzung finden Sie auf der ICANN-Website und unter https://tools.ietf.org/html/rfc6781.
In Plesk können Sie die DNS-Daten von gehosteten Domains mithilfe von DNSSEC schützen. Ihnen stehen folgende Optionen zur Verfügung:
- Einstellungen für Schlüsselerstellung und Rollover konfigurieren
- Domainzonen gemäß den DNSSEC-Spezifikationen signieren und Signierung aufheben
- Benachrichtigungen erhalten
- DS-Ressourceneinträge aufrufen und kopieren
- DNSKEY-Ressourceneinträge aufrufen und kopieren
Anforderungen
- Plesk für Linux mit Bind-DNS-Server, ab Bind 9.9.
- DNSSEC ist eine kostenpflichtige Erweiterung. Sie ist in den Plesk Editionen Web Host und Web Pro kostenlos verfügbar.
- DNSSEC ist verfügbar unter Debian 8, Debian 9, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 18.04, CentOS 7, RedHat Enterprise Linux 7, CloudLinux 7 und Virtuozzo Linux 7.
Aktivieren der Unterstützung für DNSSEC
Um die Unterstützung von DNSSEC zu aktivieren, installieren Sie die Erweiterung Plesk DNSSEC unter Erweiterungen > Katalog der Erweiterungen.
Konfigurieren der DNSSEC-Standardeinstellungen
Die DNSSEC-Standardeinstellungen finden Sie unter Tools & Einstellungen > Erweiterungen > DNSSEC. Sie können die Standardrichtlinie für die Erstellung von Schlüsselsignaturschlüsseln (Key Signing Key, KSK) und Zonensignaturschlüsseln (Zone Signing Key, ZSK) ändern.
Die empfohlene Richtlinie für KSK und ZSK:
-
Langer Schlüssel und langer Rollover-Zeitraum für KSK (Schlüsselsignaturschlüssel)
Bei jedem Update des KSK muss der Zoneninhaber die DS-Einträge in der übergeordneten Domainzone aktualisieren. Dank der empfohlenen Richtlinie können DS-Einträge in der übergeordneten Zone so selten wie möglich aktualisiert werden, ohne dabei die Sicherheit zu verringern.
-
Kürzerer Schlüssel und kürzerer Rollover-Zeitraum für ZSK (Zonensignaturschlüssel)
Der Zonensignaturschlüssel wird automatisch aktualisiert. Mit der empfohlenen Richtlinie können Sie Systemressourcen einsparen, ohne dabei die Sicherheit einzuschränken.
Wenn Hosting-Kunden ihre Zone signieren, können sie die Standardwerte verwenden oder andere Werte angeben.Mehr Informationen dazu finden Sie unter Verwenden von DNSSEC auf Domains.
Schutz der DNS-Zonen mit DNSSEC
Um DNSSEC zu verwenden, müssen Domaininhaber ihre DNS-Zonen signieren.Mehr Informationen dazu finden Sie unter Verwenden von DNSSEC auf Domains.
Funktionsweise eines Schlüsselrollovers in Plesk
Um den DNS-Ausfall für eine Domain zu verhindern, werden in Plesk nicht nur ein KSK und ZSK verwendet. Ein zuvor generierter Schlüssel ist neben dem neuen Schlüssel für einige Zeit vorhanden, damit alle Änderungen in einer DNS-Zone umgesetzt werden. Obsolete Schlüssel werden automatisch entfernt.
KSK-Rollover
In Plesk wird eine Variante der Methode Double-RRset für das KSK-Rollover eingesetzt. Der Unterschied zur ursprünglichen Methode liegt darin, dass in Plesk zwei Schlüsselsignaturschlüssel in der Rollover-Phase vorhanden sind. Dadurch hat der Inhaber der Domainzone genug Zeit, die entsprechenden DS-Einträge in der übergeordneten Zone zu aktualisieren (z. B. die Zeitspanne zwischen Rollover-Ereignis 1 und 2 im Schema unten).
Benutzeraktionen beim KSK-Rollover
Der Domainzoneninhaber wird über das Rollover informiert und darauf hingewiesen, dass er die DS-Einträge in der übergeordneten Zone aktualisieren muss. Die DS-Einträge werden obsolet, wenn der älteste KSK abläuft und der neueste KSK generiert wird (z. B. beim Rollover-Ereignis 2 im Schema unten). Wenn der Domainzoneninhaber die DS-Einträge in der übergeordneten Zone nicht aktualisiert, wird am Ende einer Rollover-Phase nach einer Benachrichtigung die Auflösung angehalten.
Bemerkung: Der Text der Benachrichtigung für den Domain-Zoneninhaber kann derzeit nicht angepasst werden.
ZSK-Rollover
Um genug Zeit für die Synchronisierung von DNS-Slave-Server und DNS-Caching-Server mit dem DNS-Masterserver zu erlauben, wird in Plesk Folgendes durchgeführt:
- Ein neuer Schlüssel wird zu einem bestimmten Zeitpunkt vor dem Rollover zur Zone hinzugefügt.
- Der vorherige Schlüssel wird zum gleichen Zeitpunkt nach dem Rollover entfernt.
Die Zeitspanne vor und nach dem ZSK-Rollover wird in Plesk Übergangszeitraum genannt. Der Übergangszeitraum ist entweder 30 Tage oder die Summe der SOA TTL- und SOA Expire-Werte der Zone (falls die Summe über 30 Tage liegt). Der Übergangszeitraum kann jedoch nicht länger sein als die halbe ZSK-Rollover-Dauer, da die Rollover-Funktion sonst unterbrochen wird und die Zonensignaturen ungültig werden.
Um sicherzustellen, dass das ZSK-Rollover korrekt durchgeführt wird, legt Plesk Grenzwerte für die folgenden Werte fest:
- SOA TTL- und SOA Expire-Werte der Zone. Die Summe der beiden Werte darf einen bestimmten berechneten Wert nicht überschreiten.
- ZSK-Rollover-Dauer: Sie kann nicht unter einem bestimmten berechneten Wert liegen.
Benutzeraktionen beim ZSK-Rollover
Beim ZSK-Rollover müssen die Inhaber der Domain-DNS-Zonen nicht eingreifen.