Public DENIC mailinglist

[DENIC Presse <presse AT denic.de>]

PRESSEMITTEILUNG

FRANKFURT AM MAIN, 31. Mai 2011

DENIC führt DNSSEC für die deutsche Top Level Domain .de ein

Am 31. Mai 2011 hat die deutsche Registrierungsstelle DENIC den letzten 
Schritt zur Einführung von DNSSEC für .de vollzogen: die .de-Zone ist mit 
dem endgültigen, zur Validierung einsetzbaren öffentlichen Schlüssel 
bestückt worden.

Zudem hat DENIC den so genannten DS-Record, der auf diesen öffentlichen 
Schlüssel für .de verweist und Voraussetzung für die Validierung von 
DNSSEC-signierten Domains ist, bei der Internet Assigned Numbers Authority 
(IANA) für eine Veröffentlichung in der Rootzone eingereicht. Dieser 
DS-Record wird voraussichtlich bis Mitte Juni in der Rootzone erscheinen 
und ab dann die weltweite Validierung signierter .de-Domains ermöglichen. 

Die Signierung einer Domain kann über den Web- oder Domaindienstanbieter 
erfolgen oder durch den Domaininhaber selbst. Im Falle der Signierung 
durch den Anbieter – Voraussetzung ist, er unterstützt DNSSEC – ist dieser 
für die Schlüsselerzeugung, Signierung der Zonendaten, Neusignierung vor 
Ablauf der Signaturgültigkeit sowie den regelmäßig notwendigen 
Schlüsselwechsel zuständig. Domaininhaber, die ihre Domain mit DNSSEC 
schützen möchten, können dies ab sofort tun und wenden sich dazu bitte an 
ihren Provider, der auch die Registrierung der Schlüssel bei DENIC 
übernimmt.

Um als Internetnutzer die Vorteile von DNSSEC zu nutzen, benötigen Sie 
einen validierenden Resolver, der die durch DNSSEC gelieferte 
Zusatzinformation auswerten kann. Sofern Sie selbst keinen validierenden 
Resolver betreiben, wird dies in der Regel Ihr Internet Service Provider 
(ISP) übernehmen. Beim Aufruf von Webseiten leitet das auf dem Rechner 
installierte Betriebssystem automatisch die DNS-Anfragen an die vom 
jeweiligen ISP festgelegten DNS-Server. Dort kann die Überprüfung der 
signierten DNS-Daten auf Echtheit stattfinden.

Für Betreiber validierender Resolver ist die Konfiguration eines 
Trust-Anchors für .de – neben dem für die Rootzone – nicht notwendig und 
auch nicht empfehlenswert, da mit einer solchen Konfiguration etwaige 
spätere Schlüsselwechsel unbemerkt bleiben könnten, was Validierungsfehler 
und Ausfälle zur Folge hätte.

Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite 
unter http://www.denic.de/dnssec.

Hintergrundinformationen zu DNSSEC

Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des 
DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im 
Internet – wie Cache-Poisoning und DNS-Spoofing – zu schließen.

DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch 
die Sicherung des Pfades zwischen DNS-Servern und validierenden 
DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit 
in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten 
Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten 
Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz 
vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch 
keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten 
liefern. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse 
lassen sich damit nicht feststellen.

DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten 
Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen 
mit diesen an den Client übertragen werden. Die Prüfung der Antworten und 
Signaturen erfolgt im Client oder in dem davor liegenden Resolver 
gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese 
Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und 
abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich, 
da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert 
erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel 
(der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration 
eingepflegt wird.

DNSSEC ist ein Baustein, um den Betrieb des DNS – ein zentraler Aspekt des 
Internets – sicherer zu machen, indem es vor Fälschungen und dem 
Unterschieben falscher DNS-Daten schützt. 
__________________________

PRESS RELEASE

Frankfurt, 31 May 2011

DENIC Launching DNSSEC for the German Top Level Domain .de

On 31 May 2011, the German registry DENIC took the last step required to 
launch DNSSEC for .de: The .de zone now contains the final public key, 
which is suited for validation.

Moreover, DENIC has submitted to the Internet Assigned Numbers Authority 
(IANA) the so-called DS record for publication in the root zone. The DS 
record refers to the public key for .de and is a mandatory prerequisite 
for validating DNSSEC-signed domains. It will probably become visible in 
the root zone by mid-June and from then on allow validation of signed .de 
domains all across the Internet.

Signing of a domain can be carried out either through the web or domain 
service provider or by the domain holders themselves. If signing is 
performed by one of these service providers – which may be an optional 
service – this provider also is responsible for generating the keys, 
signing the zone data, carrying out re-signing before signatures expire, 
and for changing the keys at the required intervals. Domain holders who 
want to protect their domains with DNSSEC can do this from now on. They 
are kindly requested to contact their registrar, who will also register 
the keys with DENIC.

To be able to benefit from DNSSEC as an Internet user you need a 
validating resolver that is capable to interpret the additional 
information supplied by DNSSEC. If you do not operate a validating 
resolver yourself, your Internet service provider (ISP) will normally 
operate such a resolver for you. When you visit a website, the operating 
system installed on the computer automatically directs the DNS query to 
the DNS server defined by the respective ISP. That server will validate 
data authenticity.

Operators of validating resolvers do not need to configure a trust anchor 
for .de in addition to the one used for the root zone. It is not 
recommended either, since such a configuration might lead to later key 
rollovers not being noticed. This, in turn, might entail validation errors 
and failures.

You will find detailed information about DNSSEC on our website at 
http://www.denic.de/en/domains/dnssec.html.

About DNSSEC

Domain Name System Security Extensions (DNSSEC) are extensions of the DNS 
(Domain Name System) which have the purpose to close security holes in the 
Internet, such as cache poisoning and DNS spoofing.

DNSSEC provides security by data origin authentication, i.e. by securing 
the path between the DNS servers and the validating DNS clients, with 
intermediate resolvers and their caches being included in the security 
perimeter. The signature which was applied reveals if the data were 
actually generated by a source entitled to do so. At the same time, 
securing data integrity protects against DNS data that was manipulated on 
the way. However, DNSSEC does not warrant the correctness of the initially 
stored data. Neither will it protect against domain hijacking or 
manipulations during the registration process.

DNSSEC verifies DNS replies by means of cryptographically secured 
signatures. These signatures are computed from the DNS data to be 
protected and are transferred to the client together with the data. 
Response verification is executed in the client or in the upstream 
resolver by means of a check against the public keys valid for the 
respective zone. These keys, in turn, are easily stored in and retrieved 
from the DNS. This procedure itself is secured by DNSSEC and is thus not 
subject to the aforementioned security threats; only the key required to 
start the chain of trust (i.e. the key of the root zone) is permanently 
stored in the client or its configuration data.

DNSSEC is one component to make operation of the DNS – a crucial aspect of 
the Internet – more secure by protecting the DNS against data manipulation 
and spoofing.

Mit freundlichen Grüßen / Kind regards

Beate Schulz
Unternehmenskommunikation / Public Relations
-- 

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274 
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg 
Schweiger 
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht 
Frankfurt am Main