Innovation

Domain Name System Security Extension (DNSSEC)

End-to-End-Authentizifierung des Internets

Entwicklung von DNSSEC seit Beginn

Verisign ist seit 2000 an der Entwicklung von DNSSEC beteiligt, und unsere Ingenieure haben eine entscheidende Rolle bei der Ausarbeitung des DNSSEC Hashed Authenticated Denial of Existence(NSEC3)-Protokolls gespielt. Wir werden auch weiterhin mit der technischen Internet-Community zusammenarbeiten und uns an Branchenorganisationen beteiligen, wenn es um den Test, die Implementierung und die weitere Entwicklung von DNSSEC geht.

Domain Name System Security Extensions (DNSSEC) steigern das Vertrauen ins Internet, indem sie Benutzer vor der Umleitung zu betrügerischen Websites oder unerwünschten Adressen schützen.

Im Juli 2010 hat Verisign zusammen mit der Internet Assigned Numbers Authority (IANA) und dem US-Handelsministerium (DoC) die Umsetzung von DNSSEC in der Root-Zone abgeschlossen (der Startpunkt in der DNS-Hierarchie). Ebenfalls im Juli hat Verisign in Zusammenarbeit mit EDUCAUSE und dem US-Handelsministerium .edu aktiviert und arbeitet gerade daran, DNSSEC für .net und .com zu aktivieren. Die Übernahme von DNSSEC ist seit 2011 laufend vorangeschritten. Mittlerweile wurden etwas mehr als ein Drittel der Registrys, die Top-Level-Domains (TLD) betreiben, signiert.

Darüber hinaus ergreifen wir zahlreiche Maßnahmen, um Mitglieder des Internet-Ökosystems dabei zu unterstützen, DNSSEC erfolgreich zu nutzen. Diese Schritte beinhalten das Veröffentlichen technischer Ressourcen, die Bereitstellung einer operativen Testumgebung und des DNSSEC Interoperability Labs, die Beteiligung an Industrieforen und die Entwicklung von Tools zur Vereinfachung der DNSSEC-Verwaltung.

Verisign ist darum bemüht, seinen Kunden zuverlässige Internet-Services zu bieten. Als Registry für .com und .net und Anbieter wichtiger Services für die Infrastruktur des Internets ist es unser Ziel, Innovationen umzusetzen und dabei die Internet-Community vor neuen Internetbedrohungen zu schützen. Die Arbeit an DNSSEC stellt einen weiteren Schritt bei unseren andauernden Bemühungen dar, die Internet-Infrastruktur zu stärken und in sie zu investieren.


DNSSEC-Zeitleiste

1990 Die Diskussion um die Sicherheit von DNS beginnt, nachdem ein ernster Fehler entdeckt wird.
1995 DNSSEC wird ein offizielles Thema in der IETF.
1999 Das DNSSEC-Protokoll (RFC2535) ist fertig und BIND9 wird als erste DNSSEC-fähige Implementierung entwickelt.
2001 Key Handling führt zu funktionalen Problemen, die die Bereitstellung von DNSSEC für große Netzwerke unmöglich machen. Die IETF entscheidet, das Protokoll zu revidieren.
2005 DNSSEC-Standards in mehreren RFCs (4033, 4034, 4035) werden revidiert. Im Oktober aktiviert Schweden (.se) DNSSEC in seiner Zone.
2007 Im Juli aktiviert ccTLD .pr (Puerto Rico) DNSSEC, gefolgt von .br (Brasilien) im September und .bg (Bulgarien) im Oktober.
2008 Der NSEC3-Standard (RFC 5155) wird veröffentlicht. Im September aktiviert ccTLD .cz (Tschechien) DNSSEC.
2009 Verisign und EDUCAUSE hosten eine DNSSEC-Testumgebung für ausgewählte .edu-Registranten. Root-Zone für interne Verwendung von Verisign und ICANN signiert. ICANN und Verisign führen Signierung des ZSK mit dem KSK aus.
2010 Der erste Root-Server bedient die signierte Root und nutzt dafür die DURZ (Deliberately Unvalidatable Root Zone)-Methode. Alle Root-Server, die die signierte Root bedienen, verwenden die DURZ-Methode. ICANN veranstaltet erste KSK-Feier in Culpeper, VA, USA. ICANN veröffentlicht den Root-Zonen-Vertrauensanker und Root-Operatoren beginnen, die signierte Root-Zone mit tatsächlichen Schlüsseln zu bedienen - Die signierte Root-Zone ist verfügbar. Verisign und EUDCAUSE aktivieren DNSSEC für die .edu-Domain. Verisign aktiviert DNSSEC für die .net-Domain.
2011 Im Februar wird die DNSSEC-fähige .gov-Registry auf Verisign umgestellt. Im März wird .com signiert und Verisigns Managed DNS Service wird um den vollständigen Support für die DNSSEC-Compliance erweitert. 59 TLDs werden mit Vertrauensankern in der Root-Zone signiert.
2012 Im Januar verkündete Comcast announced, dass seine Kunden DNSSEC-validierende Resolver benutzen. Seit März wuchs die Zahl der signierten TLDs auf 90.