public-l AT list.denic.de
Subject: Public DENIC mailinglist
List archive
[DENICpublic-l] DNSSEC: Neue Hardware, neuer Schlüssel / DNSSEC: New Hardware, New Key
Chronological Thread
- From: DENIC Presse <presse AT denic.de>
- To: Public-l AT denic.de
- Subject: [DENICpublic-l] DNSSEC: Neue Hardware, neuer Schlüssel / DNSSEC: New Hardware, New Key
- Date: Wed, 17 Aug 2016 09:46:03 +0200
Sehr geehrte Damen und Herren,
DENIC hat die kryptographische Hardware zur Signierung der .de-Zone
erneuert und dabei einen neuen KSK aktiviert.
Nach fünf Jahren Produktionsbetrieb mit DNSSEC und vorangegangenem Testbed
war die Zeit gekommen, die für die Signierung der .de-Zone eingesetzte
kryptographische Hardware (Hardware Security Module, HSM) abzulösen. Weil
die privaten DNSSEC-Schlüssel – bestimmungsgemäß – nicht aus dem HSM
ausgelesen werden können, kommen mit neuem HSM auch neue Schlüssel – hier:
ein neuer Key Signing Key (KSK) – zum Einsatz. Während die
Schlüsselwechsel der Zone Signing Keys (ZSK) schon jetzt regelmäßig alle
fünf Wochen erfolgen, haben wir nun den ersten vollständigen KSK-Rollover
durchgeführt. Künftige KSK-Wechsel werden entsprechend nach Bedarf
vorgenommen.
Handlungsbedarf: Keiner
Diesen für die validierenden Resolver vollständig transparenten Vorgang
haben wir mit dem „Double DS“-Schema nach RFC 6781 durchgeführt. Dadurch
sind noch für eine Übergangszeit zwei DS-Records für DE in der Rootzone
hinterlegt. „Double DS“ ist insbesondere beim gleichzeitigen Wechsel von
KSK und HSM von Vorteil, weil es ohne doppelte KSK-Signaturen auskommt.
Zukunftsmusik: Elliptische Kurven
Die kryptographischen Parameter, insbesondere den Algorithmus (RSA) und
die Schlüssellänge (2048 Bit), haben wir beibehalten. Auch wenn neue
Verfahren wie „elliptische Kurven“ (EC) Vorteile durch deutlich kürzere
Signaturen bieten, halten wir einen Umstieg auf TLD-Ebene derzeit noch für
verfrüht. An den entsprechenden Diskussionen in der Standardisierung und
in der operativen Community ist DENIC beteiligt.
Seit September 2015 unterstützt DENIC für Second Level Domains die
Registrierung von ECDSA- und GOST-Schlüsseln. Von den aktuell etwa 50.000
signierten .de-Domains nutzen ca. 250 diese EC-Verfahren.
Übrigens:
Auch für die Rootzone steht ein Wechsel des KSK ins Haus, geplant ist
derzeit ein bis Anfang 2018 laufendes Verfahren. Dabei ist eine
Aktualisierung der Root-Trust-Anchor in jedem validierenden Resolver
zwingend notwendig. Betreiber solcher Resolver sollten sich rechtzeitig
etwa über ICANN informieren und gegebenenfalls notwendige Aktualisierungen
durchführen.
________________________________
Dear Sir or Madam,
DENIC has replaced the cryptographic hardware for signing the .de zone and
rolled out a new KSK.
After five years of productive operation with DNSSEC and the preceding
testbed, time had come to replace the cryptographic hardware (Hardware
Security Module, HSM) used for signing the .de zone. Since the private
DNSSEC keys cannot – by definition – be read out from the HSM, the new HSM
brings along new keys. This time a new Key Signing Key (KSK). While the
Zone Signing Keys (ZSK) are already being replaced every five weeks, this
is the first time for us to perform a complete KSK rollover. In the
future, KSK rollovers will be implemented as required.
Need for Action: None
We have performed this action applying the "Double-DS" scheme as defined
in RFC 6781, which is fully transparent for the validating resolver. With
this scheme, two DS records remain valid for DE in the root zone for a
transition period. "Double DS" is particularly suited when replacing the
KSK and the HSM at the same time because it does not need double KSK
signatures.
Dreams of the Future: Elliptical Curves
We have maintained the cryptographic parameters, in particular the
algorithm (RSA) and the key length (2048 bit). Even though new solutions
like elliptical curves (EC) offer advantages due to significantly reduced
signature length, we think it is too early to switch to this solution at
the TLD level. DENIC is involved in the related discussion in the
standardisation and the operative communities.
Since September 2015, DENIC supports the registration of ECDSA and GOST
keys for second level domains. About 250 of the currently roughly 50,000
signed .de domains make use of this EC procedure.
Good to know:
Also for the root zone, a KSK rollover is coming up. At present we are
planning an implementation that will be finished in early 2018. An update
of the root trust anchor is mandatory in this context for each validating
resolver. The operators of these resolvers should obtain information from
ICANN in due time and carry out the necessary update, if required.
Mit freundlichen Grüßen / Best regards
Susanne Knauf-Hochvárt
Unternehmenskommunikation / Public Relations
--
DENIC eG | Kaiserstraße 75 - 77 | 60329 Frankfurt am Main | GERMANY
E-Mail: presse AT denic.de | Fon: +49 69 27235-274 | Fax: -235
https://www.denic.de
Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Helga Krüger, Martin Küchenthal, Andreas Musielak, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Thomas Keller
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht
Frankfurt am Main
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature
Mailinglist-Managenment:
http://mailinglists.denic.de/mailman/listinfo/public-l
- [DENICpublic-l] DNSSEC: Neue Hardware, neuer Schlüssel / DNSSEC: New Hardware, New Key, DENIC Presse, 08/17/2016
Archive powered by MHonArc 2.6.19.