Skip to Content.
Sympa Menu

public-l - [DENICpublic-l] DENIC startet in die signierte DNSSEC-Zone

public-l AT list.denic.de

Subject: Public DENIC mailinglist

List archive

[DENICpublic-l] DENIC startet in die signierte DNSSEC-Zone


Chronological Thread 
  • From: DENICpresse <presse AT denic.de>
  • To: public-l AT denic.de
  • Subject: [DENICpublic-l] DENIC startet in die signierte DNSSEC-Zone
  • Date: Tue, 5 Jan 2010 18:39:15 +0100
  • List-id: public-l <public-l.list-id.denic.de>

Sehr geehrte Damen und Herren,

das “DNSSEC-Testbed für Deutschland“ hat einen weiteren Meilenstein seiner Roadmap erreicht: Pünktlich zum 5.Januar 2010 stellte DENIC die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung bereit. Damit ist die gesonderte Infrastruktur, die zuvor ausschließlich zur Prüfung der reinen Funktionalität des Parallelbetriebs von produktiver und Testumgebung im Einsatz war, nun auch für produktiven DNSSEC-Traffic nutzbar. Was bedeutet dies im Einzelnen?

1.
Einmal täglich wird DENIC die jeweils aktuelle .de-Zonenversion aus der Produktionsumgebung signieren und in der DNSSEC-Testbedumgebung für DNS-Abfragen zur Verfügung stellen.

2.
Die beiden Nameservercluster in Frankfurt (81.91.161.228) und Amsterdam (87.233.175.25) beantworten DNS-Anfragen mit DNSSEC-Daten autoritativ und nicht-rekursiv.

3.
Die Umlenkung von Anfragen für die .de-Domain ist für verschiedene Resolver in gesonderten Konfigurationsbeispielen beschrieben (http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html).

4.
In einem validierenden Resolver gestattet das Set-Up nun, den "Trust Anchor" für das .de-Testbed zu konfigurieren. Beim “Trust Anchor“ handelt es sich um eine Kopie des öffentlichen Teils des Key Signing Keys, der dem Resolver als "Trusted Key" angegeben wird. Dieser "Trust Anchor" oder "Secure Entry Point" wird auf einer https-gesicherten Webseite publiziert (https://www.secure.denic.de/domains/dnssec/de-trust-anchor.html).

de.             86400   IN      DNSKEY  257 3 8 (AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIljt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09NYkS1P7tOe8ola9IpQHTWO6ttTmSnyE= )

Dieser Key Signing Key bleibt bis auf Widerruf im Einsatz, wobei ein planmäßiger Wechsel frühzeitig angekündigt wird.

5.
Neben dem 2048bit "Key Signing Key" kommt ein 1024bit "Zone Signing Key" zum Einsatz, der nach jeweils fünf Wochen gewechselt wird. Beide Schlüssel erzeugen Signaturen nach dem standardisierten RSA/SHA256-Verfahren, in Übereinstimmung mit RFC5702.

6.
Die Signierung der .de-Zone erfolgt mit Opt-Out unter Verwendung von NSEC3-Records nach RFC5155.

Weitere Details zu Technik und Signierung werden Gegenstand des 2. DNSSEC-Testbed-Meetings sein, das am 26. Januar 2010 in der Geschäftsstelle der DENIC in Frankfurt stattfindet. Anmeldungen hierzu sind noch möglich (http://www.denic.de/domains/dnssec/meeting-26-januar-2010.html).

Am 2. März 2010 wird das DNSSEC-Testbed schließlich in die nächste Phase gehen. Ab diesem Zeitpunkt wird es möglich sein, Schlüsselmaterial in Form von DNSKEY-Records zu delegierten .de-Domains in der Registrierungsdatenbank zu hinterlegen. Delegierte Second-Level-Domains können dann ebenfalls am Testbed teilnehmen.


Mit freundlichen Grüßen
Stefanie Welters

Business Services / Unternehmenskommunikation
--

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC Domain Verwaltungs- und Betriebsgesellschaft eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Marcus Schäfer, Carsten Schiefner, Dr. Jörg Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht Frankfurt am Main


  • [DENICpublic-l] DENIC startet in die signierte DNSSEC-Zone, DENICpresse, 01/05/2010

Archive powered by MHonArc 2.6.19.

Top of Page