Deutsche Top Level Domain ist DNSSEC-Spitzenreiter

.de hält größte Anzahl an DNSSEC-signierten Second Level Domains der Welt
(PresseBox) (Frankfurt, ) Am 31. Mai 2011 wurde die .de-Zone mit dem für die Validierung einsetzbaren öffentlichen Schlüssel bestückt. Heute ist zugehörige Eintrag in der Rootzone von der Internet Assigned Numbers Authority (IANA) angelegt worden. Damit ist die Validierung signierter .de-Domains ab sofort möglich.

Bereits heute sind mehr als 200.000 .de-Domains DNSSEC-signiert - d.h. die DNS-Auskünfte können künftig auf Unverfälschtheit überprüft werden. Damit ist .de die Top Level Domain mit den meisten signierten Second Level Domains weltweit.

Hintergrund hierfür ist, dass DENIC die Möglichkeit bietet, autoritative Daten direkt in der .de-Zone zu hinterlegen. Diese sind seit dem 31. Mai 2011 signiert, genau wie die mit eigenem Schlüsselmaterial delegierten Second Level Domains, und können ab heute mit einem validierenden Resolver in Standardkonfiguration geprüft werden. Bestandteil dieser Konfiguration ist der so genannte Trust-Anchor für die Rootzone (https://www.iana.org/dnssec/) Die Konfiguration eines Trust-Anchors für .de - neben dem für die Rootzone - ist weiterhin nicht notwendig und auch nicht empfehlenswert.

Caching-Mechanismen im DNS sorgen grundsätzlich dafür, dass neue Daten nicht unmittelbar überall sichtbar sind. Wer als Betreiber eines validierenden Resolvers möglichst schnell .de-Domains validieren möchte, kann dies durch einen Neustart des Resolverprozesses und das damit verbundene Leeren des Caches beschleunigen.

Mit der nun zur Verfügung stehenden Validierungsmöglichkeit hat die DNSSEC-Testbed-Infrastruktur ihren Dienst erfüllt. Wie bereits angekündigt wird sie noch bis Ende Juli 2011 weiterbetrieben.

Weitere Informationen zum Thema DNSSEC finden Sie auf unserer Webseite unter http://www.denic.de/dnssec.

Hintergrundinformationen zu DNSSEC

Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des DNS (Domain Name System), die darauf abzielt, Sicherheitslücken im Internet - wie Cache-Poisoning und DNS-Spoofing - zu schließen.

DNSSEC bietet Sicherheit durch Quellenauthentisierung, das heißt, durch die Sicherung des Pfades zwischen DNS-Servern und validierenden DNS-Klienten, wobei auch dazwischen liegende Resolver mit ihren Caches mit in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten Signatur lässt sich prüfen, ob die Daten von einer dazu berechtigten Stelle erzeugt wurden. Gleichzeitig bietet die Integritätssicherung Schutz vor Verfälschungen der DNS-Daten auf dem Transportweg. DNSSEC kann jedoch keine Aussagen bezüglich der Korrektheit der initial eingestellten Daten liefern. Auch Domain- Hijacking oder Eingriffe in Registrierungsprozesse lassen sich damit nicht feststellen.

DNSSEC prüft DNS-Antworten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden DNS-Inhalte errechnet und zusammen mit diesen an den Client übertragen werden. Die Prüfung der Antworten und Signaturen erfolgt im Client oder in dem davor liegenden Resolver gegenüber den zur jeweiligen Zone passenden öffentlichen Schlüsseln. Diese Schlüssel können ebenfalls am einfachsten wiederum im DNS hinterlegt und abgerufen werden. Dabei ist kein Bruch des Sicherheitsmechanismus möglich, da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert erfolgt und lediglich der für den Beginn der Kette notwendige Schlüssel (der Key der Rootzone) im Client fest hinterlegt oder per Konfiguration eingepflegt wird.

DNSSEC ist ein Baustein, um den Betrieb des DNS - ein zentraler Aspekt des Internets - sicherer zu machen, indem es vor Fälschungen und dem Unterschieben falscher DNS-Daten schützt.

Kontakt

DENIC eG
Kaiserstraße 75-77
D-60329 Frankfurt
Pressestelle/Public Relations
DENIC eG
Social Media