DNSSEC – Häufig gestellte Fragen  

Das Domain Name System (DNS)

Was ist das DNS?
Wie funktioniert das DNS?
Warum hat das DNS Schwachstellen?
Was versteht man unter Cache Poisoning?
Was versteht man unter Man-in-the-middle(MITM)-Angriffen?

DNSSEC

Welchen Zweck hat DNSSEC?
Wer profitiert von DNSSEC?
Wie funktioniert DNSSEC?
Kann DNSSEC eine umfassende Internetsicherheit bieten?
Wie wird ein Benutzer über einen Angriff informiert?
Welche Schritte unternimmt Verisign zur Implementierung von DNSSEC?
Wie sieht Verisigns Strategie bei der Anwendung von DNSSEC aus?
Was ist nötig, um DNSSEC erfolgreich einzusetzen?
Wer hat DNSSEC eingeführt oder eingerichtet?
Benötige ich nach der Einrichtung von DNSSEC noch Secure Sockets Layer (SSL)?
Ist DNSSEC gesetzlich oder durch Branchenstandards vorgeschrieben?
Wie hat sich DNSSEC entwickelt?

Registrare

Welche Auswirkungen hat die Implementierung von DNSSEC auf Registrare?
Was tut Verisign, um .com-/.net-Registrare zu unterstützen?
Können Endverbraucher DNSSEC kaufen? Wie funktioniert das?

ISPs, Anbieter und Websitebetreiber (Registranten)

Was müssen Internetdienstanbieter (Internet Service Provider, ISPs) tun?
Welche Rolle spielen Hardware-Anbieter bei DNSSEC?
Wie können Software-Entwickler DNSSEC unterstützen?
Was ist das Verisign DNSSEC Interoperability Lab?
Wie können Websitebetreiber DNSSEC aktivieren?
Welche Rolle spielen politische Entscheidungsträger beim Erfolg von DNSSEC?

 

Das Domain Name System (DNS) – Antworten

Was ist das DNS? 
Das DNS ist das Adresssystem für das Internet. Fast jede Schnittstelle zum Internet (z. B. Computer, mobile Geräte, Notebooks, ATMs und POS-Terminals) benötigt DNS-Dienste zum Austausch von Informationen. DNS verwendet spezielle Server zum Konvertieren (oder Auflösen) von Namen wie www.verisigninc.com in numerische Adressen, über die Daten und Informationen an ihren Zielort gelangen. Alle Internetanwendungen – von Websites, E-Mail-Systemen, sozialen Netzwerken und Online-Banking bis hin zu Voice over Internet Protocol (VoIP), Dateiaustausch und Video-on-Demand – sind von der Genauigkeit und Integrität dieser Konvertierung abhängig. Ohne das DNS würde das Internet nicht funktionieren. Das DNS ist entscheidend für die kritische Infrastruktur eines Landes, Online-Geschäftsvorgänge und Finanztransaktionen sowie alle internetbasierten Kommunikationen. Zum Seitenanfang

Wie funktioniert das DNS? 
Der Domainnamenbereich besteht aus einer Struktur von Domainnamen, die in Zonen unterteilt sind. Die Top-Level- oder Root-Zone untersteht der Verwaltung des US-Handelsministeriums und wird von Verisign und dem Funktionsoperator der Internet Assigned Numbers Authority (IANA) gemeinsam verwaltet. Beide sind für die Datenpflege auf dem Root-Namenserver verantwortlich. Weitere Informationen zu DNS.

Eine DNS-Zone besteht aus einer Sammlung miteinander verknüpfter Knoten, für die ein autoritativer Namenserver zuständig ist. Autoritative Namenserver für verschiedene Zonen sind zuständig für die Veröffentlichung der Zuordnung von Domainnamen zu IP-Adressen. Jeder Knoten oder jedes Blatt in der Struktur hat keine oder mehrere Ressourceneinträge, die Informationen zum Domainnamen enthalten. Jeder Domainname endet mit einer Top-Level-Domain (TLD) wie .com oder .tv.

Um die Funktionsfähigkeit des Internets zu gewährleisten und die doppelte Registrierung von Domainnamen zu vermeiden, ist eine autoritative Stelle für die Registrierung von Domainnamen erforderlich. Jede TLD verfügt über eine autoritative Registry, die eine zentrale Datenbank verwaltet. Die Registry verbreitet Informationen über Domainnamen und IP-Adressen in TLD-Zonendateien. TLD-Zonendateien weisen aktive Second-Level-Domainnamen (der Teil des Domainnamens unmittelbar links von ".") den eindeutigen IP-Adressen des Namenservers zu. Weitere Informationen zu Domainnamen und Registrierung. Zum Seitenanfang

Warum hat das DNS Schwachstellen? 
Warum hat das DNS Schwachstellen?Das Konvertieren eines Domainnamens in eine IP-Adresse wird als DNS-Auflösung bezeichnet. Wenn ein Domainname wie z. B. www.verisign.com in einen Webbrowser eingegeben wird, kontaktiert der Browser einen Namenserver, um die zugehörige IP-Adresse zu erhalten. Es gibt zwei Typen von Namenservern: autoritative Namenserver, die vollständige Informationen über eine Zone speichern, und rekursive Namenserver, die DNS-Abfragen für Internetnutzer beantworten und DNS-Antwortergebnisse eine Zeit lang speichern. Wenn ein rekursiver Namenserver eine Antwort erhält, speichert er diese im Cache, um zukünftige Abfragen zu beschleunigen. Dies verringert die Anzahl der Informationsanfragen, macht das System aber andererseits anfällig für Man-in-the-Middle-Angriffe.

Als Folge dieser Angriffe können Internetkriminelle:

  • Auf E-Mail-Accounts zugreifen
  • Voice over IP (VoIP) mithören
  • Websites imitieren
  • Kennwörter und Anmeldeinformationen stehlen
  • Kreditkartendaten und andere vertrauliche Informationen extrahieren

Weitere Informationen zu Bedrohungen für das DNS-System. Zum Seitenanfang

Was versteht man unter Cache Poisoning? 
Beim Cache Poisoning werden DNS-Daten für betrügerische Zwecke in den Cache eines rekursiven Namenservers eingespeist. Rekursive Namenserver speichern während der Namensauflösung erhaltene Informationen im Zwischenspeicher, ohne DNSSEC haben sie aber keine Möglichkeit, die Echtheit und Genauigkeit dieser Informationen zu gewährleisten. Wenn bösartige Daten auf dem rekursiven Namenserver zwischengespeichert werden, wird der Server als "vergiftet" (poisoned) betrachtet. Cache Poisoning ermöglicht es einem Angreifer, Datenverkehr an betrügerische Seiten umzuleiten. Zum Seitenanfang

Was versteht man unter Man-in-the-middle(MITM)-Angriffen? 
Ein MITM-Angriff bezeichnet das heimliche Eingreifen in und Manipulieren von Kommunikationen zwischen zwei Systemen. Der Angreifer kann die Kommunikation manipulieren, um den Datenverkehr an eine illegitime Adresse oder Website umzuleiten. Endbenutzer können den "Man in the middle" nicht identifizieren und gehen davon aus, direkt mit der gewünschten Zieladresse zu kommunizieren. Zum Seitenanfang

DNSSEC – Antworten

Welchen Zweck hat DNSSEC? 
DNSSEC schützt die Internet-Community unter Anwendung öffentlicher Schlüsselkryptografie zum digitalen Signieren autoritativer Zonendaten vor gefälschten DNS-Daten. DNSSEC-Validierung garantiert Benutzern, dass die Daten von der angegebenen Quelle stammen und während der Übertragung nicht modifiziert wurden. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert.

DNSSEC erhöht zwar die DNS-Sicherheit, ist aber keine umfassende Lösung. Es schützt nicht vor Distributed Denial of Service (DDoS)-Angriffen, gewährleistet keine Vertraulichkeit beim Austausch von Daten, verschlüsselt Website-Daten nicht und verhindert auch nicht Spoofing oder Phishing. Andere Schutzmechanismen wie die Vermeidung von DDoS-Angriffen, Sicherheitsaufklärung, Vermeidung von Betrug, Verschlüsselung und Seitenvalidierung über Secure Sockets Layer (SSL) sowie Two-factor Authentication sind ebenfalls entscheidend für die Sicherheit im Internet. Diese Mechanismen sollten gemeinsam mit DNSSEC verwendet werden. Zum Seitenanfang

Wer profitiert von DNSSEC? 
DNSSEC betrifft alle Komponenten innerhalb des Ökosystems der Internet-Infrastruktur. Die effektive Anwendung erfordert die Beteiligung vieler Mitglieder der Internet-Community. Registrys, Registrare, Registranten von Domainnamen, Hardware- und Software-Anbieter, ISPs, Regierungsbehörden und "gewöhnliche" Internetnutzer sind wichtig für den Erfolg des Systems und die Umsetzung entscheidender Verbesserungen der Internetsicherheit.

Vorteile von DNSSEC:

  • Die Internet-Community profitiert von mehr Sicherheit in signierten Zonen.
  • Registrare können ihren Kunden Dienste zum Signieren von Domains anbieten.
  • ISPs können die Sicherheit der an ihre Kunden zurückgegebenen Daten erhöhen.
  • Benutzer sind vor DNS-Schwachstellen wie Cache Poisoning und Man-in-the-middle-Angriffen geschützt.

Zum Seitenanfang

Wie funktioniert DNSSEC? 
Bei DNSSEC hat jede Zone ein öffentliches/privates Schlüsselpaar. Der öffentliche Schlüssel der Zone wird über DNS veröffentlicht, während der private Schlüssel sicher aufbewahrt und idealerweise offline gespeichert wird. Der private Schlüssel einer Zone signiert individuelle DNS-Daten in dieser Zone und erstellt so digitale Signaturen, die auch über DNS veröffentlicht werden.

DNSSEC verwendet ein strenges Vertrauensmodell und diese Kette des Vertrauens verläuft von den übergeordneten bis zu den untergeordneten Zonen. Die Zonen der höheren Ebenen (übergeordnete Zonen) signieren – oder bürgen für – die öffentlichen Schlüssel der Zonen der unteren Ebenen (untergeordnete Zonen). Die autoritativen Namenserver für diese Zonen können von Registraren, ISPs, Webhosting-Unternehmen oder Websitebetreibern (Registranten) selbst verwaltet werden.

Wenn ein Endbenutzer auf eine Website zugreifen will, fordert ein Stub-Resolver innerhalb des Betriebssystems des Benutzers den Domainnamen-Eintrag von einem rekursiven Namenserver eines ISPs an. Nachdem der Server diesen Eintrag anfordert, fordert er auch den mit der Zone verknüpften DNSSEC-Schlüssel an. Anhand dieses Schlüssels kann der Server verifizieren, dass die Informationen, die er empfängt, mit dem Eintrag des autoritativen Namenservers identisch sind.

Wenn der rekursive Namenserver bestimmt, dass der Adresseintrag vom autoritativen Namenserver gesendet und bei der Übertragung nicht geändert wurde, löst er den Domainnamen auf und der Benutzer kann auf die Website zugreifen. Dieser Vorgang wird als Validierung bezeichnet. Wenn der Adresseintrag geändert wurde oder nicht von der angegebenen Quelle stammt, verweigert der rekursive Namenserver dem Benutzer den Zugriff auf die betrügerische Adresse. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Zum Seitenanfang

Kann DNSSEC eine umfassende Internetsicherheit bieten? 
Eine umfassende Internetsicherheit setzt sich aus vielen einzelnen Puzzleteilen zusammen. DNSSEC kann die durch Man-in-the-middle-Angriffe und Cache Poisoning verursachten Sicherheitsprobleme mindern, ist aber keine Komplettlösung. DNSSEC bietet keinen Schutz vor einigen der häufigsten Internetbedrohungen wie Spoofing oder Phishing. Daher sind andere Schutzmaßnahmen wie SSL-Zertifikate und Two-factor Authentication erforderlich, um eine umfassende Internetsicherheit zu gewährleisten. Zum Seitenanfang

Wie wird ein Benutzer über einen Angriff informiert? 
Die Internet-Community hat noch kein standardisiertes System entwickelt, um Benutzer über Angriffe zu informieren. Eine mögliche Lösung ist die Entwicklung "DNSSEC-fähiger" Browser, die Benutzer darüber informieren, dass sie zu einem authentifizierten Ziel geleitet wurden. Zum Seitenanfang

Welche Schritte unternimmt Verisign zur Implementierung von DNSSEC? 
Juli 2010, Verisign—Zusammenarbeit mit der Internet Assigned Numbers Authority (IANA) und dem. US-Handelsministerium (DoC)—abgeschlossene Umsetzung von DNSSEC in der Root-Zone (der Ausgangspunkt in der DNS-Hierarchie). Ebenfalls im Juli hat Verisign in Zusammenarbeit mit EDUCAUSE und dem US-Handelsministerium .edu aktiviert und arbeitet gerade daran, DNSSEC für .net und .com zu aktivieren. Zum Seitenanfang

Wie sieht Verisigns Strategie bei der Anwendung von DNSSEC aus? 
Unsere Strategie bei der Implementierung von DNSSEC besteht darin, mit den kleineren Zonen zu beginnen und jede Implementierung zu bewerten, bevor wir mit der nächsten Zone fortfahren. Die .com-Zone ist die größte Zone und wird daher als Letztes signiert. Wir möchten so viel Erfahrung wie möglich sammeln, bevor wir uns der Domain zuwenden, über die ein so großer Teil des internetbasierten internationalen Handels und der weltweiten Online-Kommunikation stattfindet. Zum Seitenanfang

Was ist nötig, um DNSSEC erfolgreich einzusetzen? 
Die erfolgreiche Implementierung von DNSSEC hat zahlreiche Vorteile für die globale Internet-Community, da sie die Sicherheit diverser Aktivitäten im Internet erhöht, wie zum Beispiel E-Commerce, Online-Banking, E-Mail-Kommunikation, VoIP sowie Online-Vertrieb von Software. Es liegt jedoch in der Verantwortung der gesamten Internet-Community, DNSSEC erfolgreich einzusetzen. Der Erfolg erfordert die aktive, koordinierte Teilnahme von Registrys, Registraren, Registranten, Hosting-Unternehmen, Softwareentwicklern, Hardware-Anbietern, Regierung sowie Internettechnologen und Koalitionen. Zum Seitenanfang

Wer hat DNSSEC eingeführt oder eingerichtet? 
Die Internet-Root-Zone, Top-Level-Domains (TLDs) wie .gov, .org und .museum und eine Reihe von TLDs mit Länderkennzeichen (Country Code Top-Level Domains, ccTLDs) haben die von ihnen verwalteten Zonen signiert. Andere TLDs wie .edu, .net und .com haben DNSSEC im Jahr 2010 implementiert bzw. werden es 2011 implementieren. Diese TLDs akzeptieren demnächst Second-Level-Domainnamen mit DNSSEC-Signierung. Große ISPs wie Comcast haben angekündigt, die Validierung auf den rekursiven Namenservern zu aktivieren, die Benutzeranfragen beantworten, und einige Registrare haben die DNSSEC-Implementierung in ihre Roadmaps integriert. Außerdem hat die Internet Corporation for Assigned Names and Numbers (ICANN) Anwendungen für neue TLDs geöffnet und es ist wahrscheinlich, dass Pläne für die DNSSEC-Implemenierung eine Voraussetzung für die Genehmigung einer neuen TLD-Anfrage sein werden. Zum Seitenanfang

Benötige ich nach der Einrichtung von DNSSEC noch Secure Sockets Layer (SSL)? 
Auch wenn sowohl DNSSEC als auch SSL auf öffentlicher Schlüsselkryptografie angewiesen sind, führen beide sehr unterschiedliche Funktionen aus, die sich ergänzen, anstatt sich zu ersetzen.

Sehr vereinfacht dargestellt geht es bei DNSSEC um das "Wo" und bei SSL um das "Wer" und "Wie".

  • Wo – DNSSEC verwendet digitale Signaturen, um die Integrität von DNS-Daten nachzuweisen und so sicherzustellen, dass Benutzer die gewünschte IP-Adresse erreichen. Der Vorgang ist abgeschlossen, sobald der Benutzer die Adresse erreicht. DNSSEC gewährleistet nicht die Identität der Organisation hinter der Adresse und verschlüsselt keine Interaktionen zwischen Benutzer und Website.
  • Wer – SSL verwendet digitale Zertifikate, um die Identität einer Website zu validieren. Wenn diese Zertifikate von namhaften Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt wurden, garantiert SSL dem Benutzer die Identität des Inhabers der Website. SSL sorgt jedoch nicht dafür, dass der Benutzer die richtige Seite erreicht, schützt also nicht vor Angriffen, die Benutzer umleiten. Mit anderen Worten: Die Validierung von Websites über SSL ist effektiv – aber nur dann, wenn der Benutzer vorher das richtige Ziel erreicht hat.
  • Wie – SSL verwendet auch digitale Zertifikate zum Verschlüsseln des Datenaustauschs zwischen einem Benutzer und einer Website und schützt so die Vertraulichkeit von Finanztransaktionen, Kommunikationen, E-Commerce und anderen vertraulichen Interaktionen.

Zusammen bieten DNSSEC und SSL mehr Sicherheit und Vertrauen im Internet: Benutzer können auf verlässliche Weise nachprüfen, welche Website sie besuchen, mit wem sie interagieren und dass ihre Transaktionen geschützt sind. Zum Seitenanfang

Ist DNSSEC gesetzlich oder durch Branchenstandards vorgeschrieben? 
Das Office of Management and Budget(OMB)-Memo 08-23 hat angeordnet, dass DNSSEC im Januar 2009 in der Top-Level-Domain .gov angewendet wird und Bundesbehörden DNSSEC im Dezember 2009 auf externen Seiten aktivieren. Bundesagenturen setzen DNSSEC auf externen Seiten bis Dezember 2009 ein. Die .gov-Registry wurde Anfang 2009 signiert. US-amerikanische Die US-Behörde Defense Information Systems Agency beabsichtigt, OMB DNSSEC-Anforderungen auch bei der .mil-Domain zu erfüllen. US-amerikanische Neue Regelungen des Federal Information Security Management Act (FISMA) legen fest, dass Behörden ihre Intranetzonen bis Mitte 2010 mit DNSSEC signieren müssen. Derzeit gibt es keine Vorgaben, nach denen Betreiber öffentlicher Websites ihre Domain über DNSSEC sichern müssen. Zum Seitenanfang

Wie hat sich DNSSEC entwickelt? 
1993: Beginn der Diskussion über ein sicheres DNS
1994: Veröffentlichung eines ersten potenziellen Standards
1997: Veröffentlichung von RFC 2065 (DNSSEC ist ein IETF-Standard)
1999: Veröffentlichung von RFC 2535 (DNSSEC-Standard revidiert)
2005: Veröffentlichung einer kompletten Überarbeitung der Standards
RFC 4033 (Einführung und Anforderungen)
RFC 4034 (Neue Ressourceneinträge)
RFC 4035 (Protokolländerungen)
1. Juli 2010: Root-Zone signiert (geplant)
Q3 2010: .edu signiert
Q4 2010: .net signiert
Februar 2011: DNSSEC-fähige .gov-Registry wird auf Verisign umgestellt
Q1 2011: .com signiert
März 2011: Verisigns Managed DNS Service wird um vollen Support fürr DNSSEC-Compliance erweitert
Januar 2012: Comcast verkündet, dass seine Kunden DNSSEC-validierende Resolver verwenden
März 2012: Zahl der signierten TLDs steigt auf 90

Zum Seitenanfang

Registrare – Antworten

Welche Auswirkungen hat die Implementierung von DNSSEC auf Registrare? 
Registrare müssen die Domainnamen für ihre Kunden (Registranten) signieren. Die Aktivierung von DNSSEC für einen Registranten beinhaltet das Erstellen öffentlicher/privater Schlüsselpaare für den Domainnamen, das Erstellen und Signieren der Zone und das Verwalten der Schlüsselpaare. Diese Vorgänge stellen sicher, dass DNSSEC-fähige Resolver innerhalb des Internet-Ökosystems die Authentizität der von der Zone erhaltenen Antworten verifizieren können. Registrare müssen auch die Schnittstelle zu ihren Kunden dahingehend modifizieren, dass sie DNSSEC-Schlüsseldaten akzeptiert. Zusätzlich müssen sie ihre Extensible Provisioning Protocol(EPP)-Schnittstelle so modifizieren, dass sie DNSSEC-Schlüsseldaten an die Registrys sendet, mit denen sie interagiert. Zum Seitenanfang

Was tut Verisign, um .com-/.net-Registrare zu unterstützen? 
Verisign ist bemüht, die Kosten der DNSSEC-Implementierung für Registrare zu senken und unseren Registraren dabei zu helfen, Strategien für ihre DNSSEC-Implementierung festzulegen. Verisign bietet eine Anzahl von Tools, Trainings, Services und Support, um Registrare bei den wichtigsten Verwaltungsprozessen und der Implementierung von DNSSEC auf ihren DNS-Servern zu unterstützen.

Diese Unterstützung beinhaltet:

  • Eine operative Testumgebung für .net/.com, anhand derer Registrare sicherstellen können, dass ihre DNSSEC-Implementierung ordnungsgemäß funktioniert.
  • DNSSEC-Tutorials, die vom Technical Boot Camp zur Verfügung gestellt werden.
  • Ein Software Developer Kit (SDK) und ein EPP-Tool. EPP-SDK öffnen.
  • Das DNSSEC Technical Forum.
  • Ein DNSSEC-Tool-Guide, der einen Überblick über mit DNSSEC in Zusammenhang stehende Open Source-Tools und Automation Suites bietet, die in der Branche verfügbar sind.
  • Ein als Download verfügbares kommandozeilenbasiertes Tool, über das Registrare einige häufig verwendete Open Source-Tools für die Vereinfachung der Zonenverwaltung in DNSSEC und DNS verwenden können.
  • Whitepapers über die Darstellung von Registrar-Übertragungen in einer DNSSEC-fähigen Umgebung (über das DNSSEC Technical Forum).

Zum Seitenanfang

Können Endverbraucher DNSSEC kaufen? Wie funktioniert das? 
Verisign investiert in DNSSEC zur Stärkung der Infrastruktur des Internets. Registrare und/oder Serviceanbieter können Services entwickeln, um DNSSEC für ihre Kunden zu aktivieren. Der Markt bestimmt das Modell. Zum Seitenanfang

ISPs, Anbieter und Websitebetreiber (Registranten) – Antworten

Was müssen Internetdienstanbieter (Internet Service Provider, ISPs) tun? 
Um die Verbreitung von DNSSEC im Internet-Ökosystem zu unterstützen, müssen ISPs DNSSEC auf ihren rekursiven Namenservern aktivieren und die Kompatibilität ihrer Netzwerkinfrastruktur (z. B. Firewalls, Router, Schalter, Lastverteiler) mit den größeren DNS-Antworten, die DNSSEC generiert, gewährleisten.

Die meisten im Handel verfügbaren rekursiven Namenserver unterstützen DNSSEC bereits und benötigen lediglich ein Update oder eine Parameteränderung. Registrare müssen jedoch möglicherweise ältere Namenserver und vorhandene Netzwerkgeräte aktualisieren oder ersetzen. Zum Seitenanfang

Welche Rolle spielen Hardware-Anbieter bei DNSSEC? 
DNSSEC führt komplexe Änderungen im ganzen Internet-Ökosystem ein. Um sicherzugehen, dass Internetnutzer von diesem zusätzlichen Grad an Sicherheit profitieren, müssen Hersteller von Produkten für die Internetinfrastruktur wie Firewalls, Router und andere Geräte sicherstellen, dass ihre Geräte mit DNSSEC kompatibel sind. Der richtige Einsatz dieser Produkte betrifft praktische jeden, der mit dem Internet verbunden ist, inklusive Unternehmen, ISPs, Heimanwender und andere Kunden. Zum Seitenanfang

Wie können Software-Entwickler DNSSEC unterstützen? 
Die Softwareprodukte, die das DNS ausführen, sowie Endbenutzeranwendungen wie Browser und E-Mail-Programme sind von entscheidender Bedeutung für eine effektive, innovative Nutzung des Internets. Registrare, ISPs und Endbenutzer benötigen Lösungen, die DNSSEC-Funktionen in die Software integrieren. Durch das Erstellen DNSSEC-fähiger Produkte und die Entwicklung von Tools zur Vereinfachung der DNSSEC-Verwaltung fördern Software-Entwickler die weltweite Anwendung von DNSSEC.

Möglichkeiten, um Kundennutzen zu schaffen, existieren auf der Ebene des DNS-Server-Betriebssystems, des Client-Betriebssystems und der Endbenutzer-Anwendung. Beispielsweise benötigen Registrare, ISPs und Webhosting-Dienste Lösungen zur Vereinfachung der Signierung und Verwaltung von DNSSEC-Zonen. Sie brauchen außerdem eine Möglichkeit, Endbenutzern DNSSEC-Validierung anzuzeigen, möglicherweise über einen visuellen Hinweis auf Webbrowsern. Zum Seitenanfang

Was ist das Verisign DNSSEC Interoperability Lab? 
Im Verisign DNSSEC Interoperability Lab können die Mitglieder der IT-Community die Kompatibilität der Komponenten ihrer Internet- und Unternehmensinfrastruktur mit DNSSEC testen.

Über diesen Test können Hardware- und Software-Entwickler feststellen, ob DNSSEC Auswirkungen auf die von ihnen angebotenen Lösungen und Services hat, und wie diese Auswirkungen aussehen. Zum Seitenanfang

Wie können Websitebetreiber (Registranten) DNSSEC aktivieren? 
DNSSEC basiert auf einer Vertrauenshierarchie. Personen oder Unternehmen auf höheren Ebenen der Hierarchie bürgen für diejenigen der unteren Ebenen. Dies bedeutet, dass die Stelle, die den Domainnamen eines Websitebetreibers zur Verfügung gestellt hat (für gewöhnlich ein Registrar, ISP oder DNS-Hosting-Dienst), DNSSEC implementieren muss, bevor der Websitebetreiber es aktivieren kann.

Um DNSSEC für ihre Website zu aktivieren, müssen Websitebetreiber ihre Domainnameninformationen digital signieren. In den meisten Fällen können sie diesen Prozess bei Registrierung ihres Domainnamens auslösen. Wenn sie ihren Domainnamen bereits registriert haben und DNSSEC für ihre Zone implementieren möchten, bietet ihr DNSSEC-fähiger Registrar einen Prozess für die Modifizierung von Zoneneinträgen nach der Registrierung.

Einige Organisationen müssen möglicherweise aus Sicherheits- oder Konformitätsgründen Teile des DNSSEC-Prozesses intern verwalten. In diesem Fall ist die Aktivierung von DNSSEC komplizierter. Zum Seitenanfang

Welche Rolle spielen politische Entscheidungsträger beim Erfolg von DNSSEC? 
DNSSEC ist am effektivsten, wenn es universell eingesetzt wird – von der Spitze der Internethierarchie (der Root-Zone und Top-Level-Domains) bis hin zu individuellen Domainnamen. Ähnlich wie bei anderen internationalen Kampagnen erfordert die Implementierung von DNSSEC die aktive, koordinierte Teilnahme vieler Organisationen und Länder.

Aufgrund der Größe, Komplexität und Wirkung eines globalen DNSSEC-Systems spielen Entscheidungsträger in der Regierung und im privaten Sektor eine wesentliche Rolle für den Erfolg von DNSSEC. Da politische Entscheidungsträger auf nationaler und internationaler Ebene in den Bereichen Telekommunikation, technische Standards, Handel, Strafvollzug sowie nationale Sicherheit und Verteidigung tätig sind, verfügen sie über den nötigen Überblick, Einfluss und Handlungsspielraum, um den effektiven Einsatz und die positive Entwicklung von DNSSEC mitzubewirken. Zum Seitenanfang

BENÖTIGEN SIE WEITERE INFORMATIONEN?

Rechtliche Hinweise// Datenschutz// Repository// Kontakt// Sitemap


© 2011-2013 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder unregistrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Staaten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.