Skip to Content.
Sympa Menu

public-l - [DENICpublic-l] PRESSEMITTEILUNG: DENIC führt DNSSEC für die deutsche Top Level Domain .de ein / PRESS RELEASE: DENIC Launching DNSSEC for the German Top Level Domain .de

public-l AT list.denic.de

Subject: Public DENIC mailinglist

List archive

[DENICpublic-l] PRESSEMITTEILUNG: DENIC führt DNSSEC für die deutsche Top Level Domain .de ein / PRESS RELEASE: DENIC Launching DNSSEC for the German Top Level Domain .de


Chronological Thread 
  • From: DENIC Presse <presse AT denic.de>
  • To: Public-L <public-l AT denic.de>
  • Subject: [DENICpublic-l] PRESSEMITTEILUNG: DENIC führt DNSSEC für die deutsche Top Level Domain .de ein / PRESS RELEASE: DENIC Launching DNSSEC for the German Top Level Domain .de
  • Date: Tue, 31 May 2011 12:47:34 +0200
  • List-id: public-l <public-l.list-id.denic.de>


PRESSEMITTEILUNG

FRANKFURT AM MAIN, 31. Mai 2011

DENIC führt DNSSEC für die deutsche Top Level Domain .de ein

Am 31. Mai 2011 hat die deutsche Registrierungsstelle DENIC den letzten
Schritt zur Einführung von DNSSEC für .de vollzogen: die .de-Zone ist mit
dem endgültigen, zur Validierung einsetzbaren öffentlichen Schlüssel
bestückt worden.

Zudem hat DENIC den so genannten DS-Record, der auf diesen öffentlichen
Schlüssel für .de verweist und Voraussetzung für die Validierung von
DNSSEC-signierten Domains ist, bei der Internet Assigned Numbers Authority
(IANA) für eine Veröffentlichung in der Rootzone eingereicht. Dieser
DS-Record wird voraussichtlich bis Mitte Juni in der Rootzone erscheinen
und ab dann die weltweite Validierung signierter .de-Domains ermöglichen.

Die Signierung einer Domain kann über den Web- oder Domaindienstanbieter
erfolgen oder durch den Domaininhaber selbst. Im Falle der Signierung
durch den Anbieter – Voraussetzung ist, er unterstützt DNSSEC – ist dieser
für die Schlüsselerzeugung, Signierung der Zonendaten, Neusignierung vor
Ablauf der Signaturgültigkeit sowie den regelmäßig notwendigen
Schlüsselwechsel zuständig. Domaininhaber, die ihre Domain mit DNSSEC
schützen möchten, können dies ab sofort tun und wenden sich dazu bitte an
ihren Provider, der auch die Registrierung der Schlüssel bei DENIC
übernimmt.

Um als Internetnutzer die Vorteile von DNSSEC zu nutzen, benötigen Sie
einen validierenden Resolver, der die durch DNSSEC gelieferte
Zusatzinformation auswerten kann. Sofern Sie selbst keinen validierenden
Resolver betreiben, wird dies in der Regel Ihr Internet Service Provider
(ISP) übernehmen. Beim Aufruf von Webseiten leitet das auf dem Rechner
installierte Betriebssystem automatisch die DNS-Anfragen an die vom
jeweiligen ISP festgelegten DNS-Server. Dort kann die Überprüfung der
signierten DNS-Daten auf Echtheit stattfinden.

Für Betreiber validierender Resolver ist die Konfiguration eines
Trust-Anchors für .de – neben dem für die Rootzone – nicht notwendig und
auch nicht empfehlenswert, da mit einer solchen Konfiguration etwaige
spätere Schlüsselwechsel unbemerkt bleiben könnten, was Validierungsfehler
und Ausfälle zur Folge hätte.

Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite
unter http://www.denic.de/dnssec.

Hintergrundinformationen zu DNSSEC

Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des
DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im
Internet – wie Cache-Poisoning und DNS-Spoofing – zu schließen.

DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch
die Sicherung des Pfades zwischen DNS-Servern und validierenden
DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit
in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten
Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten
Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz
vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch
keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten
liefern. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse
lassen sich damit nicht feststellen.

DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten
Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen
mit diesen an den Client übertragen werden. Die Prüfung der Antworten und
Signaturen erfolgt im Client oder in dem davor liegenden Resolver
gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese
Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und
abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich,
da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert
erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel
(der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration
eingepflegt wird.

DNSSEC ist ein Baustein, um den Betrieb des DNS – ein zentraler Aspekt des
Internets – sicherer zu machen, indem es vor Fälschungen und dem
Unterschieben falscher DNS-Daten schützt.
__________________________

PRESS RELEASE

Frankfurt, 31 May 2011

DENIC Launching DNSSEC for the German Top Level Domain .de

On 31 May 2011, the German registry DENIC took the last step required to
launch DNSSEC for .de: The .de zone now contains the final public key,
which is suited for validation.

Moreover, DENIC has submitted to the Internet Assigned Numbers Authority
(IANA) the so-called DS record for publication in the root zone. The DS
record refers to the public key for .de and is a mandatory prerequisite
for validating DNSSEC-signed domains. It will probably become visible in
the root zone by mid-June and from then on allow validation of signed .de
domains all across the Internet.

Signing of a domain can be carried out either through the web or domain
service provider or by the domain holders themselves. If signing is
performed by one of these service providers – which may be an optional
service – this provider also is responsible for generating the keys,
signing the zone data, carrying out re-signing before signatures expire,
and for changing the keys at the required intervals. Domain holders who
want to protect their domains with DNSSEC can do this from now on. They
are kindly requested to contact their registrar, who will also register
the keys with DENIC.

To be able to benefit from DNSSEC as an Internet user you need a
validating resolver that is capable to interpret the additional
information supplied by DNSSEC. If you do not operate a validating
resolver yourself, your Internet service provider (ISP) will normally
operate such a resolver for you. When you visit a website, the operating
system installed on the computer automatically directs the DNS query to
the DNS server defined by the respective ISP. That server will validate
data authenticity.

Operators of validating resolvers do not need to configure a trust anchor
for .de in addition to the one used for the root zone. It is not
recommended either, since such a configuration might lead to later key
rollovers not being noticed. This, in turn, might entail validation errors
and failures.

You will find detailed information about DNSSEC on our website at
http://www.denic.de/en/domains/dnssec.html.

About DNSSEC

Domain Name System Security Extensions (DNSSEC) are extensions of the DNS
(Domain Name System) which have the purpose to close security holes in the
Internet, such as cache poisoning and DNS spoofing.

DNSSEC provides security by data origin authentication, i.e. by securing
the path between the DNS servers and the validating DNS clients, with
intermediate resolvers and their caches being included in the security
perimeter. The signature which was applied reveals if the data were
actually generated by a source entitled to do so. At the same time,
securing data integrity protects against DNS data that was manipulated on
the way. However, DNSSEC does not warrant the correctness of the initially
stored data. Neither will it protect against domain hijacking or
manipulations during the registration process.

DNSSEC verifies DNS replies by means of cryptographically secured
signatures. These signatures are computed from the DNS data to be
protected and are transferred to the client together with the data.
Response verification is executed in the client or in the upstream
resolver by means of a check against the public keys valid for the
respective zone. These keys, in turn, are easily stored in and retrieved
from the DNS. This procedure itself is secured by DNSSEC and is thus not
subject to the aforementioned security threats; only the key required to
start the chain of trust (i.e. the key of the root zone) is permanently
stored in the client or its configuration data.

DNSSEC is one component to make operation of the DNS – a crucial aspect of
the Internet – more secure by protecting the DNS against data manipulation
and spoofing.

Mit freundlichen Grüßen / Kind regards

Beate Schulz
Unternehmenskommunikation / Public Relations
--

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main




  • [DENICpublic-l] PRESSEMITTEILUNG: DENIC führt DNSSEC für die deutsche Top Level Domain .de ein / PRESS RELEASE: DENIC Launching DNSSEC for the German Top Level Domain .de, DENIC Presse, 05/31/2011

Archive powered by MHonArc 2.6.19.

Top of Page