Public DENIC mailinglist

[DENIC Presse <presse AT denic.de>]

PRESSEMITTEILUNG

FRANKFURT AM MAIN, 8. Februar 2011

Internet – aber sicher! DNSSEC kommt für .de

DNSSEC-Testbed erfolgreich abgeschlossen – Einführung des erweiterten 
DNS-Protokolls für den 31. Mai 2011 geplant

DNSSEC (Domain Name Security Extensions) soll künftig auch .de-Domains 
noch besser absichern. Zu diesem Schluss kam eine breit angelegte 
Testphase, die mit einem abschließenden Meeting heute erfolgreich zu Ende 
ging. „DNSSEC hat seine operative Bewährungsphase im Testbed bestanden“, 
sagt DENIC-Vorstandsmitglied Sabine Dolderer (CEO). „DENIC wird DNSSEC 
daher am 31. Mai 2011 einführen und ich bin zuversichtlich, dass wir damit 
einen weiteren wichtigen Schritt in Richtung Internetsicherheit gehen“, so 
Dolderer in der Frankfurter DENIC-Geschäftsstelle. Konkret soll dadurch 
das Umlenken auf andere Webseiten, das Mitlesen von Daten sowie die 
Manipulation von Inhalten verhindert werden. Das Testbed, das die zentrale 
Registrierungsstelle für .de Domains DENIC gemeinsam mit dem Bundesamt für 
Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen 
Internetwirtschaft (eco) ins Leben rief, fand in der Zeit vom Juli 2009 
bis Dezember 2010 statt. 

Kooperative Zusammenarbeit
Neben der technischen Realisierbarkeit ging das Testbed einem breiten 
Spektrum an Fragen rund um DNSSEC nach. Um diese möglichst breite 
Betrachtung zu gewährleisten, wurde das Testbed extra so angelegt, dass 
alle Anspruchsgruppen von Internet Service Providern (ISP) bis 
Endproduktherstellern von Hard- und Software aktiv mitwirken konnten. 
Gerade diese kooperative Vorgehensweise hat sich als Erfolgsfaktor 
erwiesen. In engem Kontakt wurden Probleme kurzfristig identifiziert, 
Lösungen erarbeitet und neue Prozesse entwickelt. Unter anderem wurde die 
DENIC-Registrierungsschnittstelle erweitert, um die Registrierung von 
Schlüsselmaterial in Echtzeit zu ermöglichen. Bereits jetzt haben 
Ergebnisse des DNSSEC-Testbeds, wie die Erweiterung des Name Server 
Testers (NAST), ihren Weg in den praktischen Arbeitsalltag genommen. 
Weitere Informationen zu NAST und dem gesamten DNSSEC-Testbed sind auf der 
DENIC-Website unter http://www.denic.de/domains/dnssec.html zu finden. Als 
Termin für die Einführung von DNSSEC plant DENIC den 31. Mai 2011. Damit 
soll Registraren, ISPs und Nutzern genügend Zeit gegeben werden, sich auf 
die Einführung vorzubereiten, um einen verlässlichen Einsatz des 
erweiterten DNS-Protokolls zu gewährleisten. 
Hintergrund

Über DNSSEC
Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in 
eine von Computern verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen 
das Telefonbuch des Internet. Derzeit erfolgt der Transport der 
DNS-Informationen – also welche Domain in welche IP-Adresse aufzulösen ist 
– unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch 
Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und 
Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die 
Nameserver-Einträge digital und stellt somit sicher, dass die Information 
unverändert beim Nutzer ankommt und zudem der Absender der Informationen 
sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht 
verhindern, dass möglicherweise unzutreffende Informationen selbst 
signiert oder die Nutzer auf höherer Ebene irregeführt werden.Der 
Kaminsky-Report (www.doxpara.com/DMK_BO2K8.ppt) berichtete im Juli 2008 
über Schwachstellen im Domain Name System (DNS), die eine Verfälschung der 
im Cache eines DNS-Servers gespeicherten Einträge ermöglicht. Damit kann 
ein Angreifer die Kontrolle über die Namensauflösung für bestimmte Hosts 
oder Domains erlangen und darauf aufbauend weitere Angriffe durchführen.

PRESS RELEASE
Frankfurt, 8 February 2011

Yes to Secure Internet! - DNSSEC Is Coming for .de

DNSSEC Testbed Concluded Successfully – Launch of Extended DNS Protocol 
Scheduled for 31 May 2011 

DNSSEC (Domain Name Security Extensions) shall improve security for .de 
domains too in the future. This is the result of the broad-based test 
phase that ended with today's concluding meeting. "DNSSEC has successfully 
passed the operative phase in the testbed," says DENIC's CEO, Sabine 
Dolderer. Thus DENIC will launch DNSSEC on 31 May 2011. "I am confident 
that this is another important step towards security on the Internet," so 
Sabine Dolderer in the DENIC head office in Frankfurt. What precisely 
shall be avoided by DNSSEC? The redirection of users to websites they did 
not intend to visit, the reading of data by unauthorized third parties, 
and the manipulation of contents. The testbed was launched jointly by 
DENIC, the Association of the German Internet Economy eco e.V. and the 
Federal Agency for Security in Information Technology (BSI) and ran from 
July 2009 to December 2010.

Close Cooperation
Apart from verifying technical feasibility, the testbed addressed a large 
variety of issues all around DNSSEC. To make such a broad approach 
possible particular attention was paid to designing the testbed 
appropriately for all stakeholders, from Internet service providers (ISP) 
to end product vendors, being involved. It was just this cooperative 
approach which proved a success factor. In close cooperation, the testbed 
participants quickly identified problems, worked out solutions and 
developed new processes. To give just one example, the DENIC registry 
interface was extended so that real-time registration of key material 
became possible. The results of the DNSSEC testbed, like the extension of 
the NAme Server Testers (NAST), have already been incorporated in everyday 
working practice. You will find further information about the extension of 
the NAme Server Testers (NAST) and the DNSSEC testbed in general on the 
DENIC website at http://www.denic.de/en/domains/dnssec.html. DENIC is 
planning to launch DNSSEC on 31 May  2011. This will give registrars, ISPs 
and users sufficient lead time to prepare the launch and thus to ensure 
reliable application of the extended DNS protocol.

Background Information
About DNSSEC
The Domain Name System (DNS) converts the domain entered by the user into 
an IP address that can be processed by the computer. So the DNS can be 
called the telephone directory of the Internet. At present, the transfer 
of the DNS information – i.e. the resolution of the domain into the 
corresponding IP address – is not encrypted. This situation provides 
possibilities for altering the resolving name servers en route or by cache 
poisoning and to redirecting the user to manipulated sites. DNSSEC applies 
a digital signature to the name server records and thus ensures that the 
information will reach the user without any alterations. In addition to 
that, the sender of the information can be reliably authenticated. The 
procedure cannot prevent, however, that false information is signed or 
that the user is misled on a higher level.
In July 2008, the Kaminsky Report (www.doxpara.com/DMK_BO2K8.ppt) reported 
about vulnerable aspects of the Domain Name System (DNS), which enable 
forging the records stored in the cache of a DNS server. In doing so, the 
attacker can gain control over the name resolution of specific hosts or 
domains and can use this as a basis for further attacks.

Mit freundlichen Grüßen / Kind regards

Beate Schulz
Unternehmenskommunikation / Public Relations
-- 

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274 
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg 
Schweiger 
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht 
Frankfurt am Main