public-l AT list.denic.de
Subject: Public DENIC mailinglist
List archive
[DENICpublic-l] PRESSEMITTEILUNG: Deutsche Top Level Domain ist DNSSEC-Spitzenreiter / PRESS RELEASE: German Top Level Domain Now DNSSEC Frontrunner
Chronological Thread
- From: DENIC Presse <presse AT denic.de>
- To: Public-L <public-l AT denic.de>, dnssec-testbed-l AT denic.de
- Subject: [DENICpublic-l] PRESSEMITTEILUNG: Deutsche Top Level Domain ist DNSSEC-Spitzenreiter / PRESS RELEASE: German Top Level Domain Now DNSSEC Frontrunner
- Date: Tue, 7 Jun 2011 16:34:02 +0200
- List-id: public-l <public-l.list-id.denic.de>
PRESSEMITTEILUNG
FRANKFURT AM MAIN, 7. Juni 2011
Deutsche Top Level Domain ist DNSSEC-Spitzenreiter: .de hält größte Anzahl
an DNSSEC-signierten Second Level Domains der Welt
Am 31. Mai 2011 wurde die .de-Zone mit dem für die Validierung
einsetzbaren öffentlichen Schlüssel bestückt. Heute ist zugehörige Eintrag
in der Rootzone von der Internet Assigned Numbers Authority (IANA)
angelegt worden. Damit ist die Validierung signierter .de-Domains ab
sofort möglich.
Bereits heute sind mehr als 200.000 .de-Domains DNSSEC-signiert – d.h. die
DNS-Auskünfte können künftig auf Unverfälschtheit überprüft werden. Damit
ist .de die Top Level Domain mit den meisten signierten Second Level
Domains weltweit.
Hintergrund hierfür ist, dass DENIC die Möglichkeit bietet, autoritative
Daten direkt in der .de-Zone zu hinterlegen. Diese sind seit dem 31. Mai
2011 signiert, genau wie die mit eigenem Schlüsselmaterial delegierten
Second Level Domains, und können ab heute mit einem validierenden Resolver
in Standardkonfiguration geprüft werden. Bestandteil dieser Konfiguration
ist der so genannte Trust-Anchor für die Rootzone. Die Konfiguration eines
Trust-Anchors für .de – neben dem für die Rootzone – ist weiterhin nicht
notwendig und auch nicht empfehlenswert.
Caching-Mechanismen im DNS sorgen grundsätzlich dafür, dass neue Daten
nicht unmittelbar überall sichtbar sind. Wer als Betreiber eines
validierenden Resolvers möglichst schnell .de-Domains validieren möchte,
kann dies durch einen Neustart des Resolverprozesses und das damit
verbundene Leeren des Caches beschleunigen.
Mit der nun zur Verfügung stehenden Validierungsmöglichkeit hat die
DNSSEC-Testbed-Infrastruktur ihren Dienst erfüllt. Wie bereits angekündigt
wird sie noch bis Ende Juli 2011 weiterbetrieben.
Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite
unter http://www.denic.de/dnssec.
Hintergrundinformationen zu DNSSEC
Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des
DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im
Internet – wie Cache-Poisoning und DNS-Spoofing – zu schließen.
DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch
die Sicherung des Pfades zwischen DNS-Servern und validierenden
DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit
in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten
Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten
Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz
vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch
keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten
liefern. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse
lassen sich damit nicht feststellen.
DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten
Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen
mit diesen an den Client übertragen werden. Die Prüfung der Antworten und
Signaturen erfolgt im Client oder in dem davor liegenden Resolver
gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese
Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und
abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich,
da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert
erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel
(der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration
eingepflegt wird.
DNSSEC ist ein Baustein, um den Betrieb des DNS – ein zentraler Aspekt des
Internets – sicherer zu machen, indem es vor Fälschungen und dem
Unterschieben falscher DNS-Daten schützt.
__________________________
PRESS RELEASE
Frankfurt, 7 June 2011
German Top Level Domain Now DNSSEC Frontrunner: .de Has the Most
DNSSEC-Signed Second Level Domains in the World
Since 31 May 2011, the .de zone contains the public key which is suited
for validation. Today, the Internet Assigned Numbers Authority (IANA) has
published the related DS record in the root zone. Thus, signed .de domains
can be validated as of immediately.
Already today more than 200,000 .de domains are signed with DNSSEC – i.e.
the data provided by the DNS can now be checked for authenticity. This
makes .de the Top Level Domain with the largest number of signed Second
Level Domains worldwide.
The background to this is that DENIC offers the possibility to store
authoritative data directly in the .de zone. Like the Second Level Domains
delegated with own key material, these data have been signed since 31 May
2011 and can now be checked by means of a validating resolver with
standard configuration. Part of this configuration is the so-called trust
anchor for the root zone
(https://www.iana.org/dnssec/). Configuring a trust anchor for .de in
addition to the one used for the root zone still remains unnecessary and
is not recommended.
Caching mechanisms in the DNS generally have the effect that new data are
not visible immediately everywhere on the Internet. Operators of
validating resolvers who want to validate .de domains as soon as possible
may want to restart their resolver processes. This will empty the cache
and accelerate the process of getting ready for validation.
With validation now available, the DNSSEC testbed infrastructure has
fulfilled its purpose. As already announced, it will be continued until
end of July 2011.
You will find detailed information about DNSSEC on our website at
http://www.denic.de/en/domains/dnssec.html.
About DNSSEC
Domain Name System Security Extensions (DNSSEC) are extensions of the DNS
(Domain Name System) which have the purpose to close security holes in the
Internet, such as cache poisoning and DNS spoofing.
DNSSEC provides security by data origin authentication, i.e. by securing
the path between the DNS servers and the validating DNS clients, with
intermediate resolvers and their caches being included in the security
perimeter. The signature which was applied reveals if the data were
actually generated by a source entitled to do so. At the same time,
securing data integrity protects against DNS data that was manipulated on
the way. However, DNSSEC does not warrant the correctness of the initially
stored data. Neither will it protect against domain hijacking or
manipulations during the registration process.
DNSSEC verifies DNS replies by means of cryptographically secured
signatures. These signatures are computed from the DNS data to be
protected and are transferred to the client together with the data.
Response verification is executed in the client or in the upstream
resolver by means of a check against the public keys valid for the
respective zone. These keys, in turn, are easily stored in and retrieved
from the DNS. This procedure itself is secured by DNSSEC and is thus not
subject to the aforementioned security threats; only the key required to
start the chain of trust (i.e. the key of the root zone) is permanently
stored in the client or its configuration data.
DNSSEC is one component to make operation of the DNS – a crucial aspect of
the Internet – more secure by protecting the DNS against data manipulation
and spoofing.
Mit freundlichen Grüßen / Kind regards
Beate Schulz
Unternehmenskommunikation / Public Relations
--
DENIC eG
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY
E-Mail: presse AT denic.de
Fon: +49 69 27235-274
Fax: +49 69 27235-235
http://www.denic.de
Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Sabine Dolderer, Helga Krüger, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main
- [DENICpublic-l] PRESSEMITTEILUNG: Deutsche Top Level Domain ist DNSSEC-Spitzenreiter / PRESS RELEASE: German Top Level Domain Now DNSSEC Frontrunner, DENIC Presse, 06/07/2011
Archive powered by MHonArc 2.6.19.