Skip to Content.
Sympa Menu

public-l - [DENICpublic-l] Produktivgang von DNSSEC für .de

public-l AT list.denic.de

Subject: Public DENIC mailinglist

List archive

[DENICpublic-l] Produktivgang von DNSSEC für .de


Chronological Thread 
  • From: DENIC Presse <presse AT denic.de>
  • To: Public-L <public-l AT denic.de>
  • Subject: [DENICpublic-l] Produktivgang von DNSSEC für .de
  • Date: Tue, 17 May 2011 17:50:30 +0200
  • List-id: public-l <public-l.list-id.denic.de>


Sehr geehrte Damen und Herren,

wie bereits im Februar angekündigt, startet zum 31. Mai 2011 der
Produktivbetrieb für DNSSEC in der .de-Zone. Wir möchten dazu einige
Hinweise geben und auf zusätzliche Informationen verweisen.

Durch das seit Anfang 2010 vorgeschaltete DNSSEC-Testbed ist es bereits
seit längerer Zeit grundsätzlich möglich, über einen verwaltenden Provider
(Registrar) Schlüsselmaterial für Ihre signierte Secondleveldomain in der
DE-Registrierungsdatenbank zu hinterlegen. Bislang wurde diese Information
in den öffenlichen Auskunftsiensten (whois, webbasierte Domainabfrage)
angezeigt, ansonsten im DNS aber ausschließlich über die gesonderte
Testbedinfrastruktur publiziert. Ab dem 31. Mai werden diese sogenannten
DS-Records in der dann signierten, DE-Zone veröffentlicht und damit
unabhängig vom Testbed sichtbar sein.

Auch nach dem 31. Mai bleibt DNSSEC weiterhin optional, es besteht also
keine Verpflichtung, delegierte Domains zu signieren oder
Schlüsselmaterial für diese Domains zu hinterlegen. Die sogenannten
"nsentry"-Domains werden, da die entsprechenden Records direkt in der
.de-Zone vorliegen und dort autoritativ sind, automatisch von DNSSEC
erfasst und mit entsprechenden Signaturen versehen. Dies war und ist im
DNSSEC-Testbed bereits der Fall.

Die Validierung von .de-Domains wird wenige Tage nach dem 31. Mai möglich
sein, da für einen reibungslosen Betrieb erst der offizielle DS-Record für
die .de-Zone in der Rootzone hinterlegt und aktiv geschaltet werden muss.
Dies kann erst geschehen, nachdem dieser Schlüssel in der .de-Zone
sichtbar und wirksam ist. Bitte beachten Sie, dass die Konfiguration eines
separaten Trust-Anchors neben dem für die Rootzone - im Gegensatz zum
DNSSEC-Testbed - nicht notwendig sein wird und auch nicht empfehlenswert
ist! Details zur Validierung werden zu einem späteren Zeitpunkt
bekanntgegeben.

Die Einführung von DNSSEC für die .de-Zone wird in Anlehnung an das
DURZ-Verfahren für die Rootzone erfolgen. Die DUdeZ (deliberately
unvalidatable DE zone) wird DS-Records auf Basis der im
Registrierungssystem hinterlegten Key Signing Keys (KSKs) enthalten und
auch sonst vollständig signiert sein. Allerdings werden die DNSKEY-RRs für
.de durch solche mit gleichem Key-Tag ersetzt werden, die ausdrücklich
keine Validierung ermöglichen. Mit diesen Daten werden wir schrittweise
unsere 16 Name Server Locations versorgen. Den genauen Status werden Sie
während der Einführungsphase jeweils unserer Webseite unter
http://www.denic.de/dnssec entnehmen können. Dort finden Sie auch weitere
Informationen zum Thema DNSSEC.

Zur Vorbereitung des DNSSEC-Rollouts werden wir aus Gründen der internen
Konsistenz der Abläufe für einen kurzen Übergangszeitraum und dann im
Rahmen der DUdeZ bereits in der unsignierten .de-Zone die DS-Records für
bis dato registrierte Key Signing Keys von Second Level Domains
veröffentlichen. Betroffen sind derzeit die Teilnehmer des
DNSSEC-Testbeds. Diese Records sind nicht nutzbar, solange sie nicht
signiert sind, aber ansonsten unschädlich, da die gängigen validierenden
Resolver nur dann Anfragen nach DS-Records stellen, wenn Aussicht auf
Erfolg besteht. Mit einer in der Rootzone weiterhin als unsigniert
kategorisierten .de-Zone fehlt diese Erfolgsaussicht jedoch.

Die Einführung von DNSSEC am 31. Mai erfolgt ausschließlich für die
.de-Top Level Domain. Eine Signierung von 9.4.E164.ARPA ist derzeit nicht
geplant und somit ist eine Hinterlegung von Schlüsselmaterial für
ENUM-Domains nicht vorgesehen.

Mit freundlichen Grüßen

Beate Schulz
Unternehmenskommunikation
--

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main




  • [DENICpublic-l] Produktivgang von DNSSEC für .de, DENIC Presse, 05/17/2011

Archive powered by MHonArc 2.6.19.

Top of Page