Was ist das Domain Name System?
Das Domain Name System (DNS) ist ein essenzieller Bestandteil im Internet und zählt zu den wichtigsten Diensten. Um eine Website wie bspw. die von hosttech besuchen zu können, muss eine spezifische IP-Adresse des entsprechenden Webservers (wie bspw. 194.56.191.94) aufgerufen werden. Da sich derartige Nummern nur schwer einprägen lassen, kann eine Website recht simpel über den Domainnamen geöffnet werden.
Hierbei kommt das Domain Name System ins Spiel, einem global verteilten Verzeichnissystem, welches Anfragen zur Auflösung von Domainnamen in IP-Adressen (oder umgekehrt) beantwortet. Damit DNS-Anfragen schnell verarbeitet werden können, sind die Daten auf unzähligen DNS-Servern dezentral verteilt.
So funktioniert die DNS-Abfrage
Bevor Anfragen an einen DNS-Server gesendet werden, erfolgt in erster Instanz eine sog. Cache-Abfrage. Dabei wird geprüft, ob die benötigte IP-Adresse zu einer Domain bereits bekannt ist bzw. schon einmal aufgerufen wurde und somit im Pufferspeicher vorhanden ist. Dies erfolgt im Cache des Browsers, des Betriebssystems und dem Router, bevor dann der Internetdienstanbieter (ISP Nameserver) nach der Adresse befragt wird.
Sollte dies keine Ergebnisse liefern, wird eine Kette an weiteren Abfragen gestartet, bis die notwendige IP-Adresse ermittelt werden kann. Die Suche wird zuerst an einen Root Nameserver (Root-Server) übermittelt, welcher Informationen zur untergeordneten Hierarchie-Ebene enthält – den Top-Level-Domain (TLD) Nameservern wie beispielsweise .com, .net, .de, .ch, .at usw.
Die von den Registrierungsstellen verwaltete Nameserver enthalten weitere Informationen zu allen registrierten Domainnamen der jeweiligen TLD – jedoch nicht zu der spezifischen IP-Adresse. Somit verweisen diese ebenfalls auf die untergeordnete Hierarchie-Ebene: den in den Domaineinstellungen hinterlegten Nameservern (Autoritativer Nameserver). Dies sind i.d.R. die des Domain-Registrars oder Hosting-Providers. Schliesslich wird dann in der DNS-Zonendatei geprüft, welche IP-Adresse für die entsprechende Domain erfasst ist und meldet diese zurück. So kann dann die gewünschte Website über den Browser des Anwenders aufgerufen werden.
Obwohl hier eine regelrechte Abfragewelle losgetreten wird, erfolgt die Ermittlung der IP-Adresse in Millisekunden.
Tipp: Sollte dich deine IP-Adresse dennoch interessieren, kannst du sie bei uns herausfinden:
Schwachpunkte des Domain Name System
Das DNS wurde bereits 1983 entwickelt und bei dessen Aufbau spielte das Thema Sicherheit nicht die gleiche Rolle, wie es heutzutage der Fall ist. Das DNS ist weitgehend unverschlüsselt, sodass im Laufe der Zeit einige Schwachstellen aufgedeckt wurden, welche von Kriminellen für Angriffe genutzt werden könnten.
Eine dieser Schwachstellen ist das sog. DNS-Cache-Poisoning bzw. DNS-Spoofing, bei welchem falsche Informationen in einen DNS-Cache eingeschleust werden. Ziel dabei ist, dass bei einer Abfrage eine falsche IP-Adresse übermittelt wird, um den Nutzer auf eine manipulierte Website zu leiten. Dort können beispielsweise vertrauliche Daten abgegriffen werden oder Malware (Schadprogramme) unbemerkt auf das Gerät des Nutzers gelangen.
Obwohl diese Angriffe verhältnismässig schwer durchzuführen sind, besteht dennoch eine reelle Gefahr, welche verhindert werden sollte.
Schutz durch DNSSEC (Domain Name System Security Extensions)
Die Erweiterung DNSSEC wurde als Sicherheitsmechanismus eingeführt, um die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen, sodass diese nicht unerkannt manipuliert werden können. Weiterführende Informationen zu DNSSEC haben wir in unserem Blogbeitrag zusammengefasst.
Dieses Video visualisiert ausserdem kurz und äusserst verständlich das Thema DNSSEC:
DNSSEC für .ch- & .li-Domains
Die Registrierungsstelle Switch hat im Jahre 2010 DNSSEC eingeführt. Bis Anfang des Jahres 2021 sind aber bisher lediglich 133’343 Domains gesichert worden, was einem Anteil von knapp 6% aller registrierten Domains entspricht (aktuelle Zahlen in dieser Statistik). Im Vergleich mit anderen Ländern in Europa ist der prozentuale Anteil an gesicherten Domains in der Schweiz deutlich geringer.
Switch hat daher Anfang 2022 ein Fünfjahresprogramm gestartet, welches das Ziel hat, bis Ende 2026 60% aller .ch- und .li-Domains mit DNSSEC zu sichern. Im Zuge vorbereitender Massnahmen und öffentlichen Sensibilisierungskampagnen konnte der Anteil von DNSSEC-geschützten Domains Anfang 2022 auf über 35% angehoben werden.
Da sich das erklärte Ziel wohl recht schwierig durch Freiwilligkeit erreichen lässt, wird seit Januar 2022 von der Switch für unsignierte Domains ein Zuschlag erhoben, welcher von allen Registraren übernommen werden muss. Dieser wird i.d.R. an den Domainhalter weitergereicht.
Vorteile Aktivierung DNSSEC bei hosttech
Für alle .ch-Domains, welche du bei hosttech registriert hast und die hosttech Nameserver verwenden, aktivieren wir DNSSEC standardmässig automatisch und kostenlos. Somit musst du dich hier nicht um das Thema Sicherheit kümmern und du ersparst dir auch den Zuschlag, welcher bei unsignierten Domains fällig wird.
Für Domains mit der Endung .de und .at ist DNSSEC ebenfalls möglich. Dies gilt übrigens für praktisch alle TLDs. Jedoch musst du hier DNSSEC manuell aktivieren.
Aber auch Domains mit externen Nameservern kannst du schützen, indem du bei deinem DNS-Anbieter den notwendigen DNSSEC-Key (DS-Record) anforderst und diesen dann im Domaincenter deines myhosttech Kundencenters hinterlegst. Wie du diesen Eintrag setzen und DNSSEC aktivieren kannst, erfährst du in unserem FAQ-Beitrag.
Aber Achtung: noch nicht jeder Anbieter unterstützt DNSSEC. Du solltest dich also vergewissern, ob dein Anbieter dieses Schutzfeature anbietet. Ansonsten kann deine Domain nicht mit DNSSEC geschützt werden.
Sollte dies der Fall sein, kannst du aber gerne die hosttech-Nameserver verwenden und DNSSEC für deine Domain aktivieren (siehe FAQ). Beachte dabei, dass du in dem Fall alle relevanten und notwendigen DNS-Records im Domaincenter hinterlegst, damit deine Domain weiterhin funktioniert.
Was bei einem Domaintransfer beachtet werden sollte
Dasselbe ist bei einem Domaintransfer zu beachten. Informiere dich vorab, ob der Registrar DNSSEC unterstützt und wie hoch der Zuschlag für unsignierte Domains ist. Da es hierfür keine verbindliche Höhe gibt und somit jeder Registrar die Zusatzgebühr selbst festlegen kann, solltest du dich unbedingt vor unliebsamen Überraschungen schützen.
Apropos Domaintransfer: wusstest du, dass in vielen Fällen eine Domainkündigung und ein Domainumzug nicht notwendig ist? Aus technischer Sicht spielt es keine Rolle, wo eine Domain registriert ist. Diese muss somit nicht zwingend beim Hosting-Provider verwaltet werden. Über die Domaineinstellungen kann die Domain mittels Anpassung der Nameserver bzw. DNS-Einträge mit jedem beliebigen Host verbunden werden.
Lass dich hier nicht von deinem Provider unter Druck setzen oder mit vermeintlich günstigen Domainpreisen locken. Oftmals gelten diese nur für das erste Jahr und danach werden deutlich höhere Registrationsgebühren fällig. Ein Registrarwechsel kann somit unter Umständen zu deutlich höheren Kosten führen.
Deshalb legen wir viel Wert auf Transparenz: Bei hosttech profitierst du weiterhin von vorteilhaften Domainpreisen, welche schweizweit zu den günstigsten gehören. Ausserdem kann es von Vorteil sein, alle Produkte beim selben Provider zu haben.
