Public DENIC mailinglist

[DENIC Presse <presse AT denic.de>]

PRESSEMITTEILUNG

FRANKFURT AM MAIN, 7. Juni 2011

Deutsche Top Level Domain ist DNSSEC-Spitzenreiter: .de hält größte Anzahl 
an DNSSEC-signierten Second Level Domains der Welt

Am 31. Mai 2011 wurde die .de-Zone mit dem für die Validierung 
einsetzbaren öffentlichen Schlüssel bestückt. Heute ist zugehörige Eintrag 
in der Rootzone von der Internet Assigned Numbers Authority (IANA) 
angelegt worden. Damit ist die Validierung signierter .de-Domains ab 
sofort möglich.

Bereits heute sind mehr als 200.000 .de-Domains DNSSEC-signiert – d.h. die 
DNS-Auskünfte können künftig auf Unverfälschtheit überprüft werden. Damit 
ist .de die Top Level Domain mit den meisten signierten Second Level 
Domains weltweit. 

Hintergrund hierfür ist, dass DENIC die Möglichkeit bietet, autoritative 
Daten direkt in der .de-Zone zu hinterlegen. Diese sind seit dem 31. Mai 
2011 signiert, genau wie die mit eigenem Schlüsselmaterial delegierten 
Second Level Domains, und können ab heute mit einem validierenden Resolver 
in Standardkonfiguration geprüft werden. Bestandteil dieser Konfiguration 
ist der so genannte Trust-Anchor für die Rootzone. Die Konfiguration eines 
Trust-Anchors für .de – neben dem für die Rootzone – ist weiterhin nicht 
notwendig und auch nicht empfehlenswert.

Caching-Mechanismen im DNS sorgen grundsätzlich dafür, dass neue Daten 
nicht unmittelbar überall sichtbar sind. Wer als Betreiber eines 
validierenden Resolvers möglichst schnell .de-Domains validieren möchte, 
kann dies durch einen Neustart des Resolverprozesses und das damit 
verbundene Leeren des Caches beschleunigen. 

Mit der nun zur Verfügung stehenden Validierungsmöglichkeit hat die 
DNSSEC-Testbed-Infrastruktur ihren Dienst erfüllt. Wie bereits angekündigt 
wird sie noch bis Ende Juli 2011 weiterbetrieben. 

Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite 
unter http://www.denic.de/dnssec.

Hintergrundinformationen zu DNSSEC

Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des 
DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im 
Internet – wie Cache-Poisoning und DNS-Spoofing – zu schließen.

DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch 
die Sicherung des Pfades zwischen DNS-Servern und validierenden 
DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit 
in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten 
Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten 
Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz 
vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch 
keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten 
liefern. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse 
lassen sich damit nicht feststellen.

DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten 
Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen 
mit diesen an den Client übertragen werden. Die Prüfung der Antworten und 
Signaturen erfolgt im Client oder in dem davor liegenden Resolver 
gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese 
Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und 
abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich, 
da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert 
erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel 
(der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration 
eingepflegt wird.

DNSSEC ist ein Baustein, um den Betrieb des DNS – ein zentraler Aspekt des 
Internets – sicherer zu machen, indem es vor Fälschungen und dem 
Unterschieben falscher DNS-Daten schützt. 
__________________________

PRESS RELEASE

Frankfurt, 7 June 2011

German Top Level Domain Now DNSSEC Frontrunner: .de Has the Most 
DNSSEC-Signed Second Level Domains in the World

Since 31 May 2011, the .de zone contains the public key which is suited 
for validation. Today, the Internet Assigned Numbers Authority (IANA) has 
published the related DS record in the root zone. Thus, signed .de domains 
can be validated as of immediately.

Already today more than 200,000 .de domains are signed with DNSSEC – i.e. 
the data provided by the DNS can now be checked for authenticity. This 
makes .de the Top Level Domain with the largest number of signed Second 
Level Domains worldwide. 

The background to this is that DENIC offers the possibility to store 
authoritative data directly in the .de zone. Like the Second Level Domains 
delegated with own key material, these data have been signed since 31 May 
2011 and can now be checked by means of a validating resolver with 
standard configuration. Part of this configuration is the so-called trust 
anchor for the root zone
(https://www.iana.org/dnssec/). Configuring a trust anchor for .de in 
addition to the one used for the root zone still remains unnecessary and 
is not recommended.

Caching mechanisms in the DNS generally have the effect that new data are 
not visible immediately everywhere on the Internet. Operators of 
validating resolvers who want to validate .de domains as soon as possible 
may want to restart their resolver processes. This will empty the cache 
and accelerate the process of getting ready for validation.

With validation now available, the DNSSEC testbed infrastructure has 
fulfilled its purpose. As already announced, it will be continued until 
end of July 2011.

You will find detailed information about DNSSEC on our website at 
http://www.denic.de/en/domains/dnssec.html.

About DNSSEC

Domain Name System Security Extensions (DNSSEC) are extensions of the DNS 
(Domain Name System) which have the purpose to close security holes in the 
Internet, such as cache poisoning and DNS spoofing.

DNSSEC provides security by data origin authentication, i.e. by securing 
the path between the DNS servers and the validating DNS clients, with 
intermediate resolvers and their caches being included in the security 
perimeter. The signature which was applied reveals if the data were 
actually generated by a source entitled to do so. At the same time, 
securing data integrity protects against DNS data that was manipulated on 
the way. However, DNSSEC does not warrant the correctness of the initially 
stored data. Neither will it protect against domain hijacking or 
manipulations during the registration process.

DNSSEC verifies DNS replies by means of cryptographically secured 
signatures. These signatures are computed from the DNS data to be 
protected and are transferred to the client together with the data. 
Response verification is executed in the client or in the upstream 
resolver by means of a check against the public keys valid for the 
respective zone. These keys, in turn, are easily stored in and retrieved 
from the DNS. This procedure itself is secured by DNSSEC and is thus not 
subject to the aforementioned security threats; only the key required to 
start the chain of trust (i.e. the key of the root zone) is permanently 
stored in the client or its configuration data.

DNSSEC is one component to make operation of the DNS – a crucial aspect of 
the Internet – more secure by protecting the DNS against data manipulation 
and spoofing.
Mit freundlichen Grüßen / Kind regards

Beate Schulz
Unternehmenskommunikation / Public Relations
-- 

DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY

E-Mail: presse AT denic.de
Fon: +49 69 27235-274 
Fax: +49 69 27235-235
http://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg 
Schweiger 
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht 
Frankfurt am Main