Verwenden von DNSSEC (Linux)

Video-Tutorial ansehen

DNSSEC ist die Erweiterung des DNS-Protokolls, die die Signierung von DNS-Daten ermöglicht, um die Sicherheit bei der Auflösung von Domainnamen zu gewährleisten. Allgemeine Informationen zu DNSSEC und der Nutzung finden Sie auf der ICANN-Website und unter https://tools.ietf.org/html/rfc6781.

In Plesk können Sie die DNS-Daten von gehosteten Domains mithilfe von DNSSEC schützen. Ihnen stehen folgende Optionen zur Verfügung:

  • Einstellungen für Schlüsselerstellung und Rollover konfigurieren
  • Domainzonen gemäß den DNSSEC-Spezifikationen signieren und Signierung aufheben
  • Benachrichtigungen erhalten
  • DS-Ressourceneinträge aufrufen und kopieren
  • DNSKEY-Ressourceneinträge aufrufen und kopieren

 

Anforderungen
  • Plesk für Linux mit Bind-DNS-Server, ab Bind 9.9.
  • Die DNSSEC-Erweiterung ist separat erhältlich und nicht standardmäßig in den Plesk Editionen enthalten.
  • DNSSEC ist verfügbar unter Debian 8, Ubuntu 14.04, Ubuntu 16.04, CentOS 7, RedHat Enterprise Linux 7, CloudLinux 7 und Virtuozzo Linux 7.

 

Aktivieren der Unterstützung für DNSSEC

Um die Unterstützung von DNSSEC zu aktivieren, installieren Sie die Erweiterung Plesk DNSSEC unter Erweiterungen > Katalog der Erweiterungen.

2016-09-06_184223

  

Konfigurieren der DNSSEC-Standardeinstellungen

Die DNSSEC-Standardeinstellungen finden Sie unter Tools & Einstellungen > Erweiterungen > DNSSEC. Sie können die Standardrichtlinie für die Erstellung von Schlüsselsignaturschlüsseln (Key Signing Key, KSK) und Zonensignaturschlüsseln (Zone Signing Key, ZSK) ändern.

Die empfohlene Richtlinie für KSK und ZSK:

  • Langer Schlüssel und langer Rollover-Zeitraum für KSK

    Bei jedem Update des KSK muss der Zoneninhaber die DS-Einträge in der übergeordneten Domainzone aktualisieren. Dank der empfohlenen Richtlinie können DS-Einträge in der übergeordneten Zone so selten wie möglich aktualisiert werden, ohne dabei die Sicherheit zu verringern.

  • Kürzerer Schlüssel und kürzerer Rollover-Zeitraum für ZSK

    Der Zonensignaturschlüssel (ZSK) wird automatisch aktualisiert. Mit der empfohlenen Richtlinie können Sie Systemressourcen einsparen, ohne dabei die Sicherheit einzuschränken.

Wenn Hosting-Kunden ihre Zone signieren, können sie die Standardwerte verwenden oder andere Werte angeben. Weitere Details finden Sie unter Verwenden von DNSSEC auf Domains.

2016-09-07_115530

  

Schutz der DNS-Zonen mit DNSSEC

Um DNSSEC zu verwenden, müssen Domaininhaber ihre DNS-Zonen signieren. Weitere Details finden Sie unter Verwenden von DNSSEC auf Domains.

Funktionsweise eines Schlüsselrollovers in Plesk

Um den DNS-Ausfall für eine Domain zu verhindern, werden in Plesk nicht nur ein KSK und ZSK verwendet. Ein zuvor generierter Schlüssel ist neben dem neuen Schlüssel für einige Zeit vorhanden, damit alle Änderungen in einer DNS-Zone umgesetzt werden. Obsolete Schlüssel werden automatisch entfernt.

KSK-Rollover

In Plesk wird eine Variante der Methode Double-RRset für das KSK-Rollover eingesetzt. Der Unterschied zur ursprünglichen Methode liegt darin, dass in Plesk zwei Schlüsselsignaturschlüssel in der Rollover-Phase vorhanden sind. Dadurch hat der Inhaber der Domainzone genug Zeit, die entsprechenden DS-Einträge in der übergeordneten Zone zu aktualisieren (z. B. die Zeitspanne zwischen Rollover-Ereignis 1 und 2 im Schema unten).

Benutzeraktionen beim KSK-Rollover

Der Domainzoneninhaber wird über das Rollover informiert und darauf hingewiesen, dass er die DS-Einträge in der übergeordneten Zone aktualisieren muss. Die DS-Einträge werden obsolet, wenn der älteste KSK abläuft und der neueste KSK generiert wird (z. B. beim Rollover-Ereignis 2 im Schema unten). Wenn der Domainzoneninhaber die DS-Einträge in der übergeordneten Zone nicht aktualisiert, wird am Ende einer Rollover-Phase nach einer Benachrichtigung die Auflösung angehalten.

Hinweis: Der Text der Benachrichtigung für den Domain-Zoneninhaber kann derzeit nicht angepasst werden.

KSK-Rollover

ZSK-Rollover

Um genug Zeit für die Synchronisierung von DNS-Slave-Server und DNS-Caching-Server mit dem DNS-Masterserver zu erlauben, wird in Plesk Folgendes durchgeführt:

  • Ein neuer Schlüssel wird zu einem bestimmten Zeitpunkt vor dem Rollover zur Zone hinzugefügt.
  • Der vorherige Schlüssel wird zum gleichen Zeitpunkt nach dem Rollover entfernt.

Die Zeitspanne vor und nach dem ZSK-Rollover wird in Plesk Übergangszeitraum genannt. Der Übergangszeitraum ist entweder 30 Tage oder die Summe der SOA TTL- und SOA Expire-Werte der Zone (falls die Summe über 30 Tage liegt). Der Übergangszeitraum kann jedoch nicht länger sein als die halbe ZSK-Rollover-Dauer, da die Rollover-Funktion sonst unterbrochen wird und die Zonensignaturen ungültig werden.

Um sicherzustellen, dass das ZSK-Rollover korrekt durchgeführt wird, legt Plesk Grenzwerte für die folgenden Werte fest:

  • SOA TTL- und SOA Expire-Werte der Zone. Die Summe der beiden Werte darf einen bestimmten berechneten Wert nicht überschreiten.
  • ZSK-Rollover-Dauer: Sie kann nicht unter einem bestimmten berechneten Wert liegen.

Benutzeraktionen beim ZSK-Rollover

Beim ZSK-Rollover müssen die Inhaber der Domain-DNS-Zonen nicht eingreifen.

ZSK-Rollover

  

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.