Deutsche Top Level Domain ist DNSSEC-Spitzenreiter: .de hält größte Anzahl an DNSSEC-signierten Second Level Domains der Welt
Am 31. Mai 2011 wurde die .de-Zone mit dem für die Validierung einsetzbaren öffentlichen Schlüssel bestückt. Heute ist der zugehörige Eintrag in der Rootzone von der Internet Assigned Numbers Authority (IANA) angelegt worden. Damit ist die Validierung signierter .de-Domains ab sofort möglich.
Bereits heute sind mehr als 200.000 .de-Domains DNSSEC-signiert – d.h. die DNS-Auskünfte können künftig auf Unverfälschtheit überprüft werden. Damit ist .de die Top Level Domain mit den meisten signierten Second Level Domains weltweit.
Hintergrund hierfür ist, dass DENIC die Möglichkeit bietet, autoritative Daten direkt in der .de-Zone zu hinterlegen. Diese sind seit dem 31. Mai 2011 signiert, genau wie die mit eigenem Schlüsselmaterial delegierten Second Level Domains, und können ab heute mit einem validierenden Resolver in Standardkonfiguration geprüft werden. Bestandteil dieser Konfiguration ist der so genannte Trust-Anchor für die Rootzone (https://www.iana.org/dnssec/) Die Konfiguration eines Trust-Anchors für .de – neben dem für die Rootzone – ist weiterhin nicht notwendig und auch nicht empfehlenswert.
Caching-Mechanismen im DNS sorgen grundsätzlich dafür, dass neue Daten nicht unmittelbar überall sichtbar sind. Wer als Betreiber eines validierenden Resolvers möglichst schnell .de-Domains validieren möchte, kann dies durch einen Neustart des Resolverprozesses und das damit verbundene Leeren des Caches beschleunigen.
Mit der nun zur Verfügung stehenden Validierungsmöglichkeit hat die DNSSEC-Testbed-Infrastruktur ihren Dienst erfüllt. Wie bereits angekündigt wird sie noch bis Ende Juli 2011 weiterbetrieben.
Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite unter http://www.denic.de/dnssec.
Hintergrundinformationen zu DNSSEC
Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im Internet – wie Cache-Poisoning und DNS-Spoofing – zu schließen.
DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch die Sicherung des Pfades zwischen DNS-Servern und validierenden DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten liefern. Auch Domain-Hijacking oder Eingriffe in Registrierungsprozesse lassen sich damit nicht feststellen.
DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen mit diesen an den Client übertragen werden. Die Prüfung der Antworten und Signaturen erfolgt im Client oder in dem davor liegenden Resolver gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich, da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel (der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration eingepflegt wird.
DNSSEC ist ein Baustein, um den Betrieb des DNS – ein zentraler Aspekt des Internets – sicherer zu machen, indem es vor Fälschungen und dem Unterschieben falscher DNS-Daten schützt.
Die DENIC eG
Als zentrale Registrierungsstelle verwaltet DENIC inzwischen mehr als 14 Millionen Domains unterhalb der Top Level Domain .de und stellt damit eine wesentliche Ressource für die Nutzer des Internets bereit. Mit der Mission, als neutraler und kompetenter Dienstleister für alle Domaininhaber und Internetnutzer zu agieren, legen die mehr als 120 Mitarbeiter den Grundstein dafür, dass deutsche Internetseiten und E-Mail-Adressen weltweit erreichbar sind. Die über 270 Mitglieder der Genossenschaft sind deutsche wie internationale Unternehmen aus dem IT- und TK-Bereich. Gemeinsam mit ihnen und anderen Kooperationspartnern setzt sich DENIC für den sicheren Betrieb und die weltweite Weiterentwicklung des Internets ein. Dabei arbeitet DENIC ohne Gewinnerzielungsabsicht.
Zu den Aufgaben von DENIC gehören der Betrieb des automatischen elektronischen Registrierungssystems für die Mitglieder, der Betrieb der Domain-Datenbank für die Top Level Domain .de und die deutsche ENUM-Domain (.9.4.e164.arpa), der Betrieb des Nameserverdienstes für die .de-Zone und die deutsche ENUM-Domain an derzeit 16 Standorten auf der ganzen Welt sowie die Mitgestaltung der organisatorischen und technischen Weiterentwicklung des Internets in Zusammenarbeit mit internationalen Gremien (z. B. ICANN, CENTR, IETF).
Bei Fragen wenden Sie sich bitte an:
DENIC eG
Pressereferat
Fon: +49 69 27235-274
E-Mail: mailto:presse@denic.de