DNSSEC-Testbed für Deutschland
Das DNSSEC-Testbed für Deutschland
Gemeinsam mit dem BSI und eco hatte DENIC im Juni 2009 ein Testbed für die Domain Name Security Extensions (DNSSEC) ins Leben gerufen, um die Einführung von DNSSEC für .de-Domains zu evaluieren. DNSSEC zielt darauf ab, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen. Innerhalb einer von DENIC bereitgestellten Testumgebung konnten operative und technische Erfahrungen gesammelt und geprüft werden, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat. Ziel war es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz zu prüfen.
DNSSEC-Testbed-Meetings
Am 2. Juli 2009 fand das Initiale DNSSEC-Testbed-Meeting zum Thema für alle aktiven Teilnehmer und Interessierten statt.
Das 2. DNSSEC-Testbed-Meeting am 26. Januar 2010 beleuchtete insbesondere die ersten Erfahrungen mit der signierten .de-Zone.
Beim 3. DNSSEC-Testbed-Meeting am 16. Juni 2010 standen Berichte aus der Praxis im Zentrum des Interesses.
Das 4. DNSSEC-Testbed-Meeting rückte den Fokus dann schon klar auf die Tools & Emerging Services im DNSSEC-Umfeld und bot Herstellern die Möglichkeit zur Präsentation ihrer Produkte.
Das 5. DNSSEC-Testbed-Meeting am 8. Februar 2011 markierte mit der Präsentation des offiziellen Abschlussberichts und der Ankündigung der Einführung von DNSSEC für .de zum 31. Mai 2011 das Ende der Testphase.
Die Testbedinfrastruktur wurde noch bis Juli 2011 weiterbetrieben und dann endgültig abgeschaltet.
Einführung von DNSSEC für die .de-Zone
Die Einführung von DNSSEC für die .de-Zone erfolgte in Anlehnung an das DURZ-Verfahren für die Rootzone. Die DUdeZ (deliberately unvalidatable DE zone) enthielt DS-Records auf Basis der im Registrierungssystem hinterlegten Key Signing Keys (KSKs) und war auch sonst vollständig signiert. Allerdings wurden die DNSKEY-RRs durch solche mit gleichem Key-Tag ersetzt, die ausdrücklich keine Validierung ermöglichten. Mit diesen Daten wurden die 16 Name Server Locations schrittweise versorgt.
DENIC hatte aus Gründen der internen Konsistenz der Abläufe für einen kurzen Übergangszeitraum und dann im Rahmen der DUdeZ bereits in der unsignierten .de-Zone die DS-Records für die bis dato registrierten Key Signing Keys von Second Level Domains veröffentlicht. Betroffen waren ca. 180 Teilnehmer an der der Einführung vorgeschalteten Testphase, dem so genannten DNSSEC-Testbed. Diese Records waren nicht nutzbar, da sie nicht signiert waren, aber ansonsten unschädlich, da die gängigen validierenden Resolver nur dann Anfragen nach DS-Records stellen, wenn Aussicht auf Erfolg besteht.
Am 31. Mai 2011 – dem offiziellen Tag der DNSSEC-Einführung – wurde das DNSKEY-RRSet veröffentlicht und der DS-RR an IANA versand. Dieser DS-RR erschien am 7. Juni 2011 erstmals in der Rootzone. Seit diesem Zeitpunkt ist die Validierung von .de-Domains möglich.
Weiterführende Links und Dokumente
DNSSEC-Testbed-Abschlussbericht als PDF
Strategiepapier DNSSEC Testbed für Deutschland
Dokument zur Provisionierung von DNSSEC-Schlüsselmaterial
Bundesamt für Sicherheit in der Informationstechnik - BSI