2-tägiger DNSSEC Workshop mit ICANN

2025 steht ganz im Zeichen der Kampagne „E-Mail-Sicherheitsjahr“ des Bundesamts für Sicherheit in der Informationstechnik (BSI), an der sich eco aktiv beteiligt. Ziel ist es, zentrale Sicherheitsmechanismen wie SPF, DKIM, DMARC, DANE und DNSSEC in die Breite zu tragen und damit E-Mail-Kommunikation nachhaltig abzusichern.

DNSSEC nimmt dabei eine Schlüsselrolle ein: Das Domain Name System (DNS) bildet die Grundlage nahezu aller Internet-Dienste – von Namensauflösung über E-Mail-Sicherheit bis hin zu modernen Anwendungen. Ohne DNSSEC können Angriffe wie Phishing, Spoofing oder Umleitungen auf manipulierte Webseiten bestehende Schutzmaßnahmen umgehen und das Vertrauen in Internetkommunikation erschüttern.

• E-Mail-Sicherheit: Technologien wie SPF, DKIM und DMARC stützen sich auf DNS-Einträge, um Phishing und Spoofing zu verhindern. DNSSEC ist grundlegende Voraussetzung für DANE
• Authentifizierung: SSH-Fingerprints, Zertifikate oder Cloud-Token werden über DNS bereitgestellt.
• Netzwerkkonfiguration: Client-Systeme beziehen über DNS wichtige Informationen für die Kommunikation und Konnektivität.

Gerade weil DNS so zentral ist, stellt es ein attraktives Angriffsziel dar. Ohne zusätzliche Sicherheitsmechanismen können DNS-Daten unterwegs gefälscht oder manipuliert werden. Die Folgen reichen von Umleitungen auf gefälschte Webseiten bis hin zur Umgehung etablierter Sicherheitsmechanismen wie TLS-Zertifikate oder Same-Origin-Policies in Webanwendungen.

Ziel des Workshops In Zusammenarbeit mit ICANN vermittelt dieser zweitägige Workshop praxisnah, wie DNSSEC funktioniert, implementiert und in bestehende DNS-Infrastrukturen integriert werden kann. Neben den technischen Grundlagen wird auch auf organisatorische Aspekte, Best Practices und die Bedeutung von DNSSEC im internationalen Kontext eingegangen.

Workshop-Inhalte
• Kurze Einführung / DNS-Zusammenfassung

• Signing
• Validation
• Non-existence
• Key management
• Chain of Trust
• Policy Considerations
• Setting up validation in a Recursive Server
• Signing Zones (Authoritative Servers)
• DNSSEC operations and maintenance
• Tools: Troubleshooting and Monitoring

Labs:

• DNS/DNSSEC debugging
• Zone creation and configuration: primary and secondaries
• Zone signing: manual and automatic signing
• Establish and confirm chain of trust
• DNSSEC validation (recursive resolver)