News | 06.01.2010

DENIC startet in die signierte DNSSEC-Zone

Das “DNSSEC-Testbed für Deutschland“ hat einen weiteren Meilenstein seiner Roadmap erreicht: Pünktlich zum 5. Januar 2010 stellte DENIC die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung bereit. Damit ist die gesonderte Infrastruktur, die zuvor ausschließlich zur Prüfung der reinen Funktionalität des Parallelbetriebs von produktiver und Testumgebung im Einsatz war, nun auch für produktiven DNSSEC-Traffic nutzbar. Was bedeutet dies im Einzelnen?

1. Einmal täglich wird DENIC die jeweils aktuelle .de-Zonenversion aus der Produktionsumgebung signieren und in der DNSSEC-Testbedumgebung für DNS-Abfragen zur Verfügung stellen.

2. Die beiden Nameservercluster in Frankfurt (81.91.161.228) und Amsterdam (87.233.175.25) beantworten DNS-Anfragen mit DNSSEC-Daten autoritativ und nicht-rekursiv.

3. Die Umlenkung von Anfragen für die .de-Domain ist für verschiedene Resolver in gesonderten Konfigurationsbeispielen beschrieben.

4. In einem validierenden Resolver gestattet das Set-Up nun, den "Trust Anchor" für das .de-Testbed zu konfigurieren. Beim “Trust Anchor“ handelt es sich um eine Kopie des öffentlichen Teils des Key Signing Keys, der dem Resolver als "Trusted Key" angegeben wird. Dieser "Trust Anchor" oder "Secure Entry Point" wird auf einer https-gesicherten Webseite publiziert.

de.             86400   IN      DNSKEY  257 3 8 (
AwEAAZ1FqQED8QBrk3Jk4q96lggh4uiwlbdbZ0posfIgcaJJqfTNBfEhn6PEPqqRP
73libD55vujfYzKMN0fVd34wrdOpSTpMbw+oqQpJyecfGVYH1fnqws23n5QE03/
7SN98O8Cm+HBpB66JurTHWD3f4es8IUoumb/SXY44qb+oqWfmM3wS8aQVA5
d2gHpKrRIPlDHA/MB3FHGL64VpfV8KJ76kp1RBthR7Y0qalTskOouVeCOEa7gUiIl
jt1kTf64HFGsRi11klpCHBjtTiTg7MFN25nASuhbyTmWlRxPyg79BK7EDQ+tAe09N
YkS1P7tOe8ola9IpQHTWO6ttTmSnyE= )

Dieser Key Signing Key bleibt bis auf Widerruf im Einsatz, wobei ein planmäßiger Wechsel frühzeitig angekündigt wird.

5. Neben dem 2048bit "Key Signing Key" kommt ein 1024bit "Zone Signing Key" zum Einsatz, der nach jeweils fünf Wochen gewechselt wird. Beide Schlüssel erzeugen Signaturen nach dem standardisierten RSA/SHA256-Verfahren, in Übereinstimmung mit RFC5702.

6. Die Signierung der .de-Zone erfolgt mit Opt-Out unter Verwendung von NSEC3-Records nach RFC5155.

Weitere Details zu Technik und Signierung werden Gegenstand des 2. DNSSEC-Testbed-Meetings sein, das am 26. Januar 2010 in der Geschäftsstelle der DENIC in Frankfurt stattfindet. Anmeldungen hierzu sind noch möglich.

Am 2. März 2010 wird das DNSSEC-Testbed schließlich in die nächste Phase gehen. Ab diesem Zeitpunkt wird es möglich sein, Schlüsselmaterial in Form von DNSKEY-Records zu delegierten .de-Domains in der Registrierungsdatenbank zu hinterlegen. Delegierte Second-Level-Domains können dann ebenfalls am Testbed teilnehmen.