DNS Security Extension (DNSSEC)

DNS Security Extensions (DNSSEC)

Mit DNSSEC (Domain Name System Security Extensions) wird die Authentizität und Integrität von DNS Daten sichergestellt.

DNSSEC Validierung wird von den drei Nameservern/Resolvern ns1, ns2 und ns3 seit Mitte 2017 unterstützt. Wenn man auf dem Campus der TU Darmstadt die SSID eduroam verwendet, greift man normalerweise auf diese drei Resolver zu. Ob die Resolver, die man selber verwendet, DNSSEC validieren können, kann man mit der Seite http://dnssec.vs.uni-due.de überprüfen.

Die Domain tu-darmstadt.de und (fast) alle untergeordneten Domains sind mit DNSSEC signiert. Man kann dies mit der Seite http://dnsviz.net überprüfen. Weniger technisch und einfacher zu verwenden ist das DNSSEC/TLSA Validator Browser Plugin (siehe https://www.dnssec-validator.cz). Es zeigt im Browser am rechten Ende der URL Zeile ein Icon für DNSSEC bzw. TLSA (Transport Layer Security Association) an.

Neue Domains und Sub-Domains an der TU Darmstadt werden, soweit technisch möglich, automatisch mit DNSSEC signiert. Ausnahmen sind z.B. Domains bzw. Sub-Domains, deren autoritative Nameserver nicht vom HRZ betrieben werden. Die Aktivierung von DNSSEC für eine neue Domain bzw. Sub-Domain sollte normalerweise innerhalb von 3-5 Werktagen abgeschlossen sein.