Public DENIC mailinglist

[DENICpresse <presse AT denic.de>]

Sehr geehrte Damen und Herren,

das “DNSSEC-Testbed für Deutschland“ hat einen weiteren
Meilenstein seiner Roadmap erreicht: Pünktlich zum 5.Januar 2010 stellte
DENIC die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung
bereit. Damit ist die gesonderte Infrastruktur, die zuvor ausschließlich
zur Prüfung der reinen Funktionalität des Parallelbetriebs von produktiver
und Testumgebung im Einsatz war, nun auch für produktiven DNSSEC-Traffic
nutzbar. Was bedeutet dies im Einzelnen?

1.
Einmal täglich wird DENIC die jeweils aktuelle .de-Zonenversion
aus der Produktionsumgebung signieren und in der DNSSEC-Testbedumgebung
für DNS-Abfragen zur Verfügung stellen.

2.
Die beiden Nameservercluster in Frankfurt (81.91.161.228)
und Amsterdam (87.233.175.25) beantworten DNS-Anfragen mit DNSSEC-Daten
autoritativ und nicht-rekursiv.

3.
Die Umlenkung von Anfragen für die .de-Domain ist
für verschiedene Resolver in gesonderten Konfigurationsbeispielen beschrieben
(http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html).

4.
In einem validierenden Resolver gestattet das Set-Up
nun, den "Trust Anchor" für das .de-Testbed zu konfigurieren.
Beim “Trust Anchor“ handelt es sich um eine Kopie des öffentlichen Teils
des Key Signing Keys, der dem Resolver als "Trusted Key" angegeben
wird. Dieser "Trust Anchor" oder "Secure Entry Point"
wird auf einer https-gesicherten Webseite publiziert (https://www.secure.denic.de/domains/dnssec/de-trust-anchor.html).

de.             86400
  IN      DNSKEY  257 3 8 (AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIljt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09NYkS1P7tOe8ola9IpQHTWO6ttTmSnyE=
)

Dieser Key Signing Key bleibt bis auf Widerruf im
Einsatz, wobei ein planmäßiger Wechsel frühzeitig angekündigt wird.

5.
Neben dem 2048bit "Key Signing Key" kommt
ein 1024bit "Zone Signing Key" zum Einsatz, der nach jeweils
fünf Wochen gewechselt wird. Beide Schlüssel erzeugen Signaturen nach dem
standardisierten RSA/SHA256-Verfahren, in Übereinstimmung mit RFC5702.

6.
Die Signierung der .de-Zone erfolgt mit Opt-Out unter
Verwendung von NSEC3-Records nach RFC5155.

Weitere Details zu Technik und Signierung werden Gegenstand
des 2. DNSSEC-Testbed-Meetings sein, das am 26. Januar 2010 in der Geschäftsstelle
der DENIC in Frankfurt stattfindet. Anmeldungen hierzu sind noch möglich
(http://www.denic.de/domains/dnssec/meeting-26-januar-2010.html).

Am 2. März 2010 wird das DNSSEC-Testbed schließlich
in die nächste Phase gehen. Ab diesem Zeitpunkt wird es möglich sein, Schlüsselmaterial
in Form von DNSKEY-Records zu delegierten .de-Domains in der Registrierungsdatenbank
zu hinterlegen. Delegierte Second-Level-Domains können dann ebenfalls am
Testbed teilnehmen.


Mit freundlichen Grüßen
Stefanie Welters

Business Services / Unternehmenskommunikation
-- 

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274 
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC Domain Verwaltungs- und Betriebsgesellschaft eG (Sitz: Frankfurt
am Main)
Vorstand: Sabine Dolderer, Marcus Schäfer, Carsten Schiefner, Dr. Jörg
Schweiger 
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht Frankfurt
am Main