public-l AT list.denic.de
Subject: Public DENIC mailinglist
List archive
[DENICpublic-l] PRESSEMITTEILUNG/PRESS RELEASE: Internet – aber sicher! DNSSEC kommt für .de / Yes to Secure Internet! - DNSSEC Is Coming for .de
Chronological Thread
- From: DENIC Presse <presse AT denic.de>
- To: Public-L <public-l AT denic.de>, dnssec-testbed-l AT denic.de
- Subject: [DENICpublic-l] PRESSEMITTEILUNG/PRESS RELEASE: Internet – aber sicher! DNSSEC kommt für .de / Yes to Secure Internet! - DNSSEC Is Coming for .de
- Date: Tue, 8 Feb 2011 16:06:11 +0100
- List-id: public-l <public-l.list-id.denic.de>
PRESSEMITTEILUNG
FRANKFURT AM MAIN, 8. Februar 2011
Internet – aber sicher! DNSSEC kommt für .de
DNSSEC-Testbed erfolgreich abgeschlossen – Einführung des erweiterten
DNS-Protokolls für den 31. Mai 2011 geplant
DNSSEC (Domain Name Security Extensions) soll künftig auch .de-Domains
noch besser absichern. Zu diesem Schluss kam eine breit angelegte
Testphase, die mit einem abschließenden Meeting heute erfolgreich zu Ende
ging. „DNSSEC hat seine operative Bewährungsphase im Testbed bestanden“,
sagt DENIC-Vorstandsmitglied Sabine Dolderer (CEO). „DENIC wird DNSSEC
daher am 31. Mai 2011 einführen und ich bin zuversichtlich, dass wir damit
einen weiteren wichtigen Schritt in Richtung Internetsicherheit gehen“, so
Dolderer in der Frankfurter DENIC-Geschäftsstelle. Konkret soll dadurch
das Umlenken auf andere Webseiten, das Mitlesen von Daten sowie die
Manipulation von Inhalten verhindert werden. Das Testbed, das die zentrale
Registrierungsstelle für .de Domains DENIC gemeinsam mit dem Bundesamt für
Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen
Internetwirtschaft (eco) ins Leben rief, fand in der Zeit vom Juli 2009
bis Dezember 2010 statt.
Kooperative Zusammenarbeit
Neben der technischen Realisierbarkeit ging das Testbed einem breiten
Spektrum an Fragen rund um DNSSEC nach. Um diese möglichst breite
Betrachtung zu gewährleisten, wurde das Testbed extra so angelegt, dass
alle Anspruchsgruppen von Internet Service Providern (ISP) bis
Endproduktherstellern von Hard- und Software aktiv mitwirken konnten.
Gerade diese kooperative Vorgehensweise hat sich als Erfolgsfaktor
erwiesen. In engem Kontakt wurden Probleme kurzfristig identifiziert,
Lösungen erarbeitet und neue Prozesse entwickelt. Unter anderem wurde die
DENIC-Registrierungsschnittstelle erweitert, um die Registrierung von
Schlüsselmaterial in Echtzeit zu ermöglichen. Bereits jetzt haben
Ergebnisse des DNSSEC-Testbeds, wie die Erweiterung des Name Server
Testers (NAST), ihren Weg in den praktischen Arbeitsalltag genommen.
Weitere Informationen zu NAST und dem gesamten DNSSEC-Testbed sind auf der
DENIC-Website unter http://www.denic.de/domains/dnssec.html zu finden. Als
Termin für die Einführung von DNSSEC plant DENIC den 31. Mai 2011. Damit
soll Registraren, ISPs und Nutzern genügend Zeit gegeben werden, sich auf
die Einführung vorzubereiten, um einen verlässlichen Einsatz des
erweiterten DNS-Protokolls zu gewährleisten.
Hintergrund
Über DNSSEC
Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in
eine von Computern verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen
das Telefonbuch des Internet. Derzeit erfolgt der Transport der
DNS-Informationen – also welche Domain in welche IP-Adresse aufzulösen ist
– unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch
Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und
Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die
Nameserver-Einträge digital und stellt somit sicher, dass die Information
unverändert beim Nutzer ankommt und zudem der Absender der Informationen
sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht
verhindern, dass möglicherweise unzutreffende Informationen selbst
signiert oder die Nutzer auf höherer Ebene irregeführt werden.Der
Kaminsky-Report (www.doxpara.com/DMK_BO2K8.ppt) berichtete im Juli 2008
über Schwachstellen im Domain Name System (DNS), die eine Verfälschung der
im Cache eines DNS-Servers gespeicherten Einträge ermöglicht. Damit kann
ein Angreifer die Kontrolle über die Namensauflösung für bestimmte Hosts
oder Domains erlangen und darauf aufbauend weitere Angriffe durchführen.
PRESS RELEASE
Frankfurt, 8 February 2011
Yes to Secure Internet! - DNSSEC Is Coming for .de
DNSSEC Testbed Concluded Successfully – Launch of Extended DNS Protocol
Scheduled for 31 May 2011
DNSSEC (Domain Name Security Extensions) shall improve security for .de
domains too in the future. This is the result of the broad-based test
phase that ended with today's concluding meeting. "DNSSEC has successfully
passed the operative phase in the testbed," says DENIC's CEO, Sabine
Dolderer. Thus DENIC will launch DNSSEC on 31 May 2011. "I am confident
that this is another important step towards security on the Internet," so
Sabine Dolderer in the DENIC head office in Frankfurt. What precisely
shall be avoided by DNSSEC? The redirection of users to websites they did
not intend to visit, the reading of data by unauthorized third parties,
and the manipulation of contents. The testbed was launched jointly by
DENIC, the Association of the German Internet Economy eco e.V. and the
Federal Agency for Security in Information Technology (BSI) and ran from
July 2009 to December 2010.
Close Cooperation
Apart from verifying technical feasibility, the testbed addressed a large
variety of issues all around DNSSEC. To make such a broad approach
possible particular attention was paid to designing the testbed
appropriately for all stakeholders, from Internet service providers (ISP)
to end product vendors, being involved. It was just this cooperative
approach which proved a success factor. In close cooperation, the testbed
participants quickly identified problems, worked out solutions and
developed new processes. To give just one example, the DENIC registry
interface was extended so that real-time registration of key material
became possible. The results of the DNSSEC testbed, like the extension of
the NAme Server Testers (NAST), have already been incorporated in everyday
working practice. You will find further information about the extension of
the NAme Server Testers (NAST) and the DNSSEC testbed in general on the
DENIC website at http://www.denic.de/en/domains/dnssec.html. DENIC is
planning to launch DNSSEC on 31 May 2011. This will give registrars, ISPs
and users sufficient lead time to prepare the launch and thus to ensure
reliable application of the extended DNS protocol.
Background Information
About DNSSEC
The Domain Name System (DNS) converts the domain entered by the user into
an IP address that can be processed by the computer. So the DNS can be
called the telephone directory of the Internet. At present, the transfer
of the DNS information – i.e. the resolution of the domain into the
corresponding IP address – is not encrypted. This situation provides
possibilities for altering the resolving name servers en route or by cache
poisoning and to redirecting the user to manipulated sites. DNSSEC applies
a digital signature to the name server records and thus ensures that the
information will reach the user without any alterations. In addition to
that, the sender of the information can be reliably authenticated. The
procedure cannot prevent, however, that false information is signed or
that the user is misled on a higher level.
In July 2008, the Kaminsky Report (www.doxpara.com/DMK_BO2K8.ppt) reported
about vulnerable aspects of the Domain Name System (DNS), which enable
forging the records stored in the cache of a DNS server. In doing so, the
attacker can gain control over the name resolution of specific hosts or
domains and can use this as a basis for further attacks.
Mit freundlichen Grüßen / Kind regards
Beate Schulz
Unternehmenskommunikation / Public Relations
--
DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY
E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de
Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main
- [DENICpublic-l] PRESSEMITTEILUNG/PRESS RELEASE: Internet – aber sicher! DNSSEC kommt für .de / Yes to Secure Internet! - DNSSEC Is Coming for .de, DENIC Presse, 02/08/2011
Archive powered by MHonArc 2.6.19.