Oops, an error occurred! Code: 20240620072854e4bb8e9a

DNSSEC-Testbed für Deutschland

Das DNSSEC-Testbed für Deutschland

Gemeinsam mit dem BSI und eco hatte DENIC im Juni 2009 ein Testbed für die Domain Name Security Extensions (DNSSEC) ins Leben gerufen, um die Einführung von DNSSEC für .de-Domains zu evaluieren. DNSSEC zielt darauf ab, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen. Innerhalb einer von DENIC bereitgestellten Testumgebung konnten operative und technische Erfahrungen gesammelt und geprüft werden, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat. Ziel war es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz zu prüfen. Die Testbedinfrastruktur wurde noch bis Juli 2011 weiterbetrieben und dann endgültig abgeschaltet.

DNSSEC Testbed Meetings

5. DNSSEC-Testbed-Meeting am 8. Februar 2011

Finales Meeting zieht kompakte Bilanz

Das fünfte und letzte DNSSEC-Testbed-Meeting am 8. Februar 2011 bildete den Abschluss für das von BSI, DENIC und eco initiierte DNSSEC-Testbed.

Das Testbed bot Gelegenheit, um operative und technische Erfahrungen zu sammeln, Risiken einzuschätzen und die Akzeptanz zu prüfen. Die vergangenen Meetings haben hierzu detailliert informiert, viele offene Fragen adressiert und beantwortet. Im abschließenden Meeting zogen die Initiatoren in kompakter Form Bilanz und DENIC präsentierte die geplanten Schritte zur Umsetzung von DNSSEC in der Praxis. Als Termin für die Einführung wurde der 31. Mai 2011 bekannt gegeben.

Live-Mitschnitte der Veranstaltung

4. DNSSEC-Testbed-Meeting am 24. November 2010

Agenda

  • DNSSEC@DENIC: Aktueller Stand im Testbed
    Peter Koch / Marcos Sanz Grossón, DENIC eG
  • Erfahrungsbericht eines Testbed-Teilnehmers
    Andreas Schulze, DATEV eG
  • DNSSEC im globalen Kontext: Aktueller Stand
    Thorsten Dietrich, BSI
  • DNSSEC-Validierung unter MS Windows
    Carsten Strotmann, Men & Mice
  • Tools & Emerging Services im DNSSEC-Umfeld:
    • Nominum DNSSEC Packs – Ralf Weber, Nominum Inc.
    • GSLB / Global Service Loadbalancing – Ralf Brünig, F5 Networks GmbH
    • Nixu NameSurfer Suite – Jürgen Joswig & Toni Lampela, Nixu Ltd.
    • Exanames – Kariem Hussein & Wolfgang Nagele, Exabit GmbH
    • OpenDNSSEC – Carsten Strotmann, Men & Mice
    • Die Infoblox DNSSEC-Lösung - Dominic Stahl, Infoblox Inc.

Veranstaltungsflyer

Live-Mitschnitte der Veranstaltung

3. DNSSEC-Testbed-Meeting am 16. Juni 2010

Agenda

  • DNSSEC@DENIC: "Halbzeit" im Testbed
    (Peter Koch / Marcos Sanz Grossón, DENIC eG)
  • Teilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
    (Florian Obser, Hostserver GmbH)
  • DNSSEC am Leibniz-Rechenzentrum
    (Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und Forschungseinrichtungen)
  • DNSSEC-Einführung in "bund.de"
    (Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik)
  • DNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
    (Martin Duzy, AVM GmbH)
  • Die Signierung der Rootzone: "Anpfiff" zum Finale
    (Peter Koch, DENIC eG)
  • DNSSEC@Earth: Blick über den Tellerrand
    (Carsten Strotmann, Men & Mice)
  • Softwareunterstützung für DNSSEC
    (Ralf Weber, Nominum Inc.)
  • DNSSEC-Erweiterungen aus Registrarsicht
    (Volker Janzen, InterNetX GmbH)
  • Domain-Transfer unter DNSSEC
    (Samuel Benz, SWITCH – Serving Swiss Universities)

Veranstaltungsflyer

Synopsis

Präsentationen

Live-Mitschnitte der Veranstaltung

2. DNSSEC-Testbed-Meeting am 26. Januar 2010

Agenda

  • Einführung und aktueller Stand DNSSEC (optional)
    (Peter Koch, DENIC)
  • Begrüßung
    (Sabine Dolderer, DENIC)
  • Vorstellung DNSSEC-Testbed bei DENIC
    (Peter Koch / Marcos Sanz Grossón, DENIC)
  • Mit DNSSEC um die Welt: Der Stand in anderen TLDs
    (Hans Peter Dittler, BRAINTEC Netzwerk-Consulting)
  • DNSSEC in der Schweiz: Erste Erfahrungen im Produktivbetrieb
    (Samuel Benz, SWITCH)
  • DNSSEC-Unterstützung durch Heimrouter
    (Thorsten Dietrich, BSI)
  • Signierung der Rootzone
    (Wolfgang Nagele, RIPE NCC)
  • DNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
    (Holger Zuleger, HZNET)

Veranstaltungsflyer

Präsentationen

Live-Mitschnitte der Veranstaltung

DNSSEC-Testbed: Startmeeting am 2. Juli 2009

Agenda

  • Grußwort (BSI)
  • Vorstellung des Projekts und Zeitplans (Sabine Dolderer)
  • Hintergrund und Einführung DNSSEC (Hans Peter Dittler)
  • DNSSEC für .de – Vorstellung der Testumgebung und des Setups (Dr. Jörg Schweiger)
  • DNSSEC für einen ISP/Registrar - Was muss ein ISP/Registrar tun, um seine Infrastruktur DNSSEC-ready zu machen und am Testbed teilzunehmen (Ralf Weber, COLT)
  • DNSSEC bei Netzzugangsgeräten - Inwieweit unterstützen Zugangssoftware/Router bereits DNSSEC? Vorstellung Studie (BSI)
  • Diskussions- und Fragerunde zum Thema DNSSEC Testbed für .de (Moderation: Thomas Rickert)

Präsentationen

Einführung von DNSSEC für die .de-Zone

Die Einführung von DNSSEC für die .de-Zone erfolgte in Anlehnung an das DURZ-Verfahren für die Rootzone. Die DUdeZ (deliberately unvalidatable DE zone) enthielt DS-Records auf Basis der im Registrierungssystem hinterlegten Key Signing Keys (KSKs) und war auch sonst vollständig signiert. Allerdings wurden die DNSKEY-RRs durch solche mit gleichem Key-Tag ersetzt, die ausdrücklich keine Validierung ermöglichten. Mit diesen Daten wurden die 16 Name Server Locations schrittweise versorgt.

DENIC hatte aus Gründen der internen Konsistenz der Abläufe für einen kurzen Übergangszeitraum und dann im Rahmen der DUdeZ bereits in der unsignierten .de-Zone die DS-Records für die bis dato registrierten Key Signing Keys von Second Level Domains veröffentlicht. Betroffen waren ca. 180 Teilnehmer an der der Einführung vorgeschalteten Testphase, dem so genannten DNSSEC-Testbed. Diese Records waren nicht nutzbar, da sie nicht signiert waren, aber ansonsten unschädlich, da die gängigen validierenden Resolver nur dann Anfragen nach DS-Records stellen, wenn Aussicht auf Erfolg besteht.

Am 31. Mai 2011 – dem offiziellen Tag der DNSSEC-Einführung – wurde das DNSKEY-RRSet veröffentlicht und der DS-RR an IANA versand. Dieser DS-RR erschien am 7. Juni 2011 erstmals in der Rootzone. Seit diesem Zeitpunkt ist die Validierung von .de-Domains möglich.

Weiterführende Links und Dokumente

DNSSEC-Testbed-Abschlussbericht als PDF

Strategiepapier DNSSEC Testbed für Deutschland

Dokument zur Provisionierung von DNSSEC-Schlüsselmaterial

Bundesamt für Sicherheit in der Informationstechnik - BSI

Verband der Internetwirtschaft - eco

Dokumentation DENIC 23p: Nameserver Predelegation Check