DNSSEC

DNSSEC

Das .de-DNSSEC-Testbed

Die DENIC hat gemeinsam mit dem BSI und eco ein Testbed für die Domain Name Security Extensions (DNSSEC) ins Leben gerufen, um die Einführung von DNSSEC für .de-Domains zu evaluieren. DNSSEC zielt darauf ab, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen. Innerhalb einer von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat. Ziel ist es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz zu prüfen. Am 2. Juli 2009 fand das Initiale Meeting zum Thema für alle aktiven Teilnehmer und Interessierten statt. Das 2. DNSSEC-Testbed-Meeting am 26. Januar 2010 beleuchtete insbesondere die ersten Erfahrungen mit der signierten .de-Zone. Beim 3. DNSSEC-Testbed-Meeting am 16. Juni 2010 standen Berichte aus der Praxis im Zentrum des Interesses.

Was passiert gerade und welches sind die nächsten Schritte?

Seit dem 2. März 2010 bietet DENIC nun auch für Second-Level-Domains unter .de die Möglichkeit, am DNSSEC-Testbed teilzunehmen und das zugehörige Schlüsselmaterial zu hinterlegen. DENIC registriert dabei zunächst die als Trust Anchor fungierenden Key Signing Keys und veröffentlicht danach die entsprechenden DS-Records in der im Testbed zugänglichen .de-Zone. Für die betreffenden Second-Level-Domains erhalten die Teilnehmer am Testbed somit erstmals auch DNSSEC-gesicherte Antworten. Im Januar 2010 ging die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung bereit. Damit ist die gesonderte Infrastruktur, die zuvor ausschließlich zur Prüfung der reinen Funktionalität des Parallelbetriebs von produktiver und Testumgebung im Einsatz war, auch für produktiven DNSSEC-Traffic nutzbar. Einmal täglich wird DENIC die jeweils aktuelle .de-Zonenversion aus der Produktionsumgebung signieren und in der DNSSEC-Testbedumgebung für DNS-Abfragen zur Verfügung stellen. Die beiden Nameservercluster in Frankfurt und Amsterdam beantworten DNS-Anfragen mit DNSSEC-Daten autoritativ und nicht-rekursiv.

Für alle Teilnehmer am Testbed haben wir Informationen und Beispiele zu den Resolver-Konfigurationen zusammengestellt.

Weitere Details finden Sie im Bereich Status. Alle weiteren Termine in der Übersicht finden Sie in der Roadmap. Um sich aktuell über die Projektschritte und die Projektentwicklung zu informieren und zum Thema Testbed auszutauschen, können Sie die DNSSEC-Testbed-Mailingliste abonnieren, die als Kommunikationsplattform eingerichtet wurde.

Teilnahme am DNSSEC-Testbed

Die Registrierung von DNSSEC-Schlüsselmaterial erfolgt, wie die Domainregistrierung und -verwaltung, über den die Domain verwaltenden Internet Service Provider bzw. Domain-Registrar. Interessierte Domaininhaber sind daher gehalten, sich direkt an ihren Provider zu wenden, um abzustimmen, wie sie persönlich DNSSEC einsetzen können. Wesentliche Voraussetzung zur Teilnahme am Testbed ist der Einsatz einer DNSSEC-fähigen Nameserver-Software für die eigene Domain. Zum jetzigen Zeitpunkt eignet die Implementierung sich daher in erster Linie für Domaininhaber, die eigene Nameserver betreiben.

Status

Hier finden Sie detaillierte Informationen zur aktuellen Projektentwicklung, eine Meilenstein-Übersicht sowie technische Hinweise zum Testbed.

Projektüberblick

Hier finden Sie allgemeine Hinweise zum DNSSEC Testbed: von Erläuterungen zur Zielsetzung des Testbeds bis hin zu Informationen zu den bisherigen Veranstaltungen.

Hintergrundinformationen

Eine Zusammenstellung von Detailinformationen und Dokumenten rund um DNSSEC und das DNSSEC Testbed gibt Ihnen einen tiefer gehenden Einblick in das Thema.

Technische Dokumentationen

In diesem Bereich finden Sie zukünftig eine Zusammenfassung aller technischen Details sowie eine FAQ-Sektion mit Antworten auf die häufigsten Fragen.