FAQ - Macht die Nutzung eigener DNSSEC Schlüssel Sinn?
Kurze Antwort
Eigene Schlüssel für DNSSEC machen nur dann Sinn, wenn Sie Ihrem DNS-Provider nicht vertrauen und dieser nicht gleichzeitig auch ihr Domainanbieter ist.
Ausführliche Antwort
Das ganze DNSSEC System basiert darauf, dass man einigen Instanzen vertraut:
| ICANN | Verwaltet die DNS Root-Zone sowie deren DNSSEC Schlüssel |
| Registry | Die für die jeweiligen Top-Level-Domains zuständigen Registrys verwalten die Schlüssel der jeweiligen Top-Level-Domain Zone. Beispielsweise die DENIC für .de Domains |
| Registrar | Ein Registrar ist ein Domaingroßhändler der Domainnamen im Auftrag seiner Kunden bei der jeweiligen Registry registriert. |
| Domainanbieter | Der Domainanbieter über den Sie die Domain registriert haben, in eigen Fällen ist dies auch gleichzeitig der Registrar. |
| DNS-Provider | Der Anbieter der den Primären Nameserver ihrer Zone und damit die Schlüssel verwaltet. Oftmals auch gleichzeitig der Domainanbieter. |
Jede dieser Instanzen könnte mit mehr oder weniger Aufwand dafür sorgen, dass manipulierte DNS-Pakete von Empfängern als korrekt erkannt werden. Wenn Sie Ihre Schlüssel und damit den Primären Nameserver selbst verwalten, würde also der DNS-Provider aus der Liste herausfallen, wäre er gleichzeitig aber auch der Domainanbieter, wäre das ganze Unterfangen wieder Sinnlos.
Es gibt auch immer wieder Kritiker an diesem System im Zusammenhang mit DANE, da sie diesen Instanzen nicht trauen möchten. Da aber genau die selben Instanzen auch von den Zertifizierungsstellen genutzt werden um Informationen zu den jeweiligen Domains abzurufen und schließlich die Zertifikate auszustellen, hat diese Kritik nicht wirklich Substanz.