DNSSEC (Domain Name System Security Extensions) signiert DNS-Records kryptografisch, damit Resolver überprüfen können, dass sie nicht manipuliert wurden. Es fügt eine Vertrauenskette von der Root zu deiner Zone hinzu.
Ohne DNSSEC kann ein Angreifer, der deinen ISP's DNS-Resolver kontrolliert oder auf deinem Netzwerk sitzt, Verkehr überall hinumleiten. DNSSEC versteckt deinen Verkehr nicht und verhindert nicht, dass Anfragen geloggt werden – es beweist nur, dass die Antworten legitim sind. Dein Registrar und dein Nameserver-Betreiber müssen beide das unterstützen; die meisten tun das jetzt.
DNSSEC zu aktivieren erfordert das Generieren eines Signatur-Schlüssels, das Erstellen von DS-Records in deiner Registry und das Pushen von Updates, wenn dein Signatur-Schlüssel rotiert. Es fügt operative Reibung hinzu. Einige Registrare und Hosting-Provider handhaben das transparent; andere lassen dich es selbst verwalten. Fehlkonfiguration bricht deine Zone völlig.
Es ist Security Theater, wenn dein Registrar gehackt wird oder dein Nameserver ist upstream kompromittiert. Aber gegen passive Netzwerk-Angriffe und DNS-Cache-Poisoning funktioniert es. Zunehmend empfohlen für sensible Operationen: Journalist-Domains, Crypto-Exchanges, alles, das sich einen Redirect-Angriff nicht leisten kann.