DNSSEC für Registrare

Da die Anzahl der DNSSEC-Implementierungen derzeit rasant ansteigt, wird sich DNSSEC voraussichtlich zu einer geschäftlichen Notwendigkeit für Registrare entwickeln. Diese Tendenz wird durch interne Anforderungen wie Risikomanagement und das Bedürfnis der Benutzer nach mehr Sicherheit im Internet verstärkt.

Domain Name System Security Extensions (DNSSEC) bieten Registraren neue Möglichkeiten und Herausforderungen. Verisign arbeitet mit Registraren zusammen, um DNSSEC so einfach und effektiv wie möglich zu gestalten. Finden Sie heraus, was DNSSEC für Sie bedeutet, welche Schritte Sie unternehmen können, um sich auf DNSSEC vorzubereiten, und wie Tools, Informationen und andere Ressourcen von Verisign Sie bei der effektiven Planung, dem Test und der Aktivierung von DNSSEC unterstützen können.

Warum Sie jetzt handeln sollten Erforderliche Schritte Erste Schritte Tools

Registrare spielen eine wichtige Rolle bei der erfolgreichen Implementierung von DNSSEC. Einige Internet Service Provider (ISPs) und .net-/.com-Registrare arbeiten bereits an der Implementierung von DNSSEC. Die Implementierung von DNSSEC ist ein komplexer Vorgang. Verisign befürwortet daher eine vorsichtige, methodische Herangehensweise. Registrare müssen schnell handeln, um ausreichend Zeit für die Planung, den Einsatz, den Test und die Weiterentwicklung der DNSSEC-Implementierung zu haben.

Darüber hinaus können sie sich auf diese Weise als Vordenker und Vorbilder etablieren, sich von Wettbewerbern abheben und neue Ertragsmöglichkeiten sichern. Außerdem können sie möglicherweise die Entwicklung von Produkten und Services – und anderen Initiativen der Branche – beeinflussen, die ihre Branche unterstützen und fördern.

DNSSEC – Vorteile für proaktive Registrare

Indem Sie dieses wichtige Element der Internetsicherheit hinzufügen, können Sie:

  • Die Marke und Kunden der Registranten schützen.
  • Das Vertrauen und die Loyalität der Registranten stärken.
  • Auf Sicherheit und ihren guten Ruf bedachte Registranten gewinnen und halten.
  • Neue Serviceangebote wie das Signieren von Zonen für Registranten bereitstellen.
  • DNS für neue Arten sicherer Datentransaktionen nutzen (z. B. die Veröffentlichung anderer Arten öffentlicher Schlüssel und die Authentifizierung von E-Mail-Absendern).
  • Ihr Kerngeschäft schützen, indem Sie mehr Vertrauen ins Internet schaffen.
  • Ihre Führungsposition und Ihren Einfluss nutzen, um die Zukunft von DNSSEC mitzugestalten.

DNSSEC bringt komplexe Änderungen mit sich, die alle an der DNS-Abfrage und -Auflösung beteiligten Stellen betreffen – insbesondere Registrare und andere Hosting-Dienste, die autorative Namenserver verwalten und wichtige Verwaltungs-Services für Registranten bieten. Wir stellen Tools zur Verfügung und helfen Ihnen dabei, Ihre DNSSEC-Implementierung erfolgreich zu gestalten.

Um die neuen Services zu entwickeln, die Registranten voraussichtlich nach Implementierung von DNSSEC fordern werden, müssen Sie die Domainnamen der Registranten signieren. Die Aktivierung von DNSSEC für einen Registranten sieht die folgenden Schritte vor:

  • Erstellen von privaten/öffentlichen Schlüsselpaaren für den Domainnamen.
  • Erstellen und Signieren der Zone.
  • Verwaltung der Schlüsselpaare.

Diese Vorgänge stellen sicher, dass DNSSEC-fähige Resolver innerhalb des Internet-Ökosystems die Authentizität der von der Zone erhaltenen Antworten verifizieren können.

Sie müssen auch die Schnittstelle zu Ihren Kunden dahingehend modifizieren, dass sie DNSSEC-Schlüsseldaten akzeptiert, und Ihre Extensible Provisioning Protocol (EPP)-Schnittstelle so ändern, dass sie DNSSEC-Schlüsseldaten an die Registrys weiterleitet, mit denen Sie interagieren.

Zonensignierung
Folgende Aufgaben sind mit dem Einrichten und Signieren einer Zone verbunden:

  • Einrichten von Zonenschlüsseln (zone signing keys, ZSKs), die die Einträge der Zone signieren
  • Einrichten der Schlüsselunterzeichnungs-Schlüssel (key signing keys, KSKs), die die Schlüsseleinträge in der Zone signieren und den Aufbau der Vertrauenshierarchie unterstützen
  • Generieren einer unsignierten Zone
  • Signieren der Zone
  • Testen des Signiersystems in einer Offline-Testumgebung
  • Allmähliches Einführen der Signierungen, z. B. zuerst auf internen Netzwerken, um sicherzugehen, dass keine Funktionen beeinträchtigt werden

Kontinuierliches Schlüsselmanagement
DNSSEC erfordert die regelmäßige Änderung privater Schlüssel, um die Gefahr, dass ein Dritter auf den Schlüssel zugreift, möglichst gering zu halten. Dies beinhaltet das Ändern des Schlüsselpaars der Zone und das neue Signieren der Zone mit dem neuen privaten Schlüssel. Wenn ein KSK geändert wird, müssen Sie die Registry mit den neuen öffentlichen Schlüsseln (DS-Einträge) aktualisieren.

Folgende Aufgaben sind mit der Verwaltung von Schlüsseln verbunden:

  • Ändern von Schlüsseln (geplant und unvorhergesehen) für ZSKs and KSKs
  • Geplante neue Signierung von sicherheitsbezogenen Ressourceneinträgen
  • Aktualisieren der übergeordneten Zone mit DS(Delegation Signer)-Einträgen, basierend auf den KSKs

Zusätzliche Erwägungen
Für das Hosten einer signierten Zone ist die Implementierung eines DNSSEC-konformen Namenservers erforderlich. Für die Verwaltung der Schlüssel ist eine spezielle DNSSEC-Hardware und -Software erforderlich. Die Implementierung und Verwaltung dieser Komponenten ist ein komplexer, zeitintensiver Prozess. Sie haben mehrere Möglichkeiten: Entwicklung einer internen DNSSEC-Lösung, Erwerb handelsüblicher DNSSEC-fähiger DNS-Produkte oder Kollaboration mit einem qualifizierten Managed Services Provider für DNSSEC-Signierung und Schlüsselverwaltung.

In den ersten beiden Fällen müssen Sie die Integration der neuen Geräte in Ihr System sorgfältig überdenken und planen. Sie sollten deren Implementierung auch außerhalb der Produktionsumgebung testen, um sicherzugehen, dass sie bei Aktivierung von DNSSEC einwandfrei funktionieren. Zu diesem Zweck steht die Verisign Operational Test Environment (OTE) .net- und .com-Registraren kostenlos zur Verfügung.

Sie sollten auch prüfen, ob Ihre älteren und aktuellen Netzwerkgeräte DNSSEC unterstützen. Können sie beispielsweise DNSSEC-Pakete übertragen, die größer als die üblichen Pakete sein können, und unterstützen sie das Transmission Control Protocol (TCP) und Erweiterungsmechanismen für DNS-Pakete?

Registrare können ihr Ziel eines DNSSEC-fähigen Systems, das das Vertrauen der Registranten und Endbenutzer aufrechterhält, neue Ertragsmöglichkeiten bietet und ihnen einen Vorteil vor Wettbewerbern schafft, nach und nach in wohlüberlegten Schritten erreichen. Basierend auf den Kenntnissen von Branchenexperten und den Erfahrungen bei der Implementierung von DNSSEC in der Root-Zone, .edu, .net und .com, raten wir Ihnen zu folgenden ersten Schritten.

Entdecken und Lernen

  • Überlegen Sie, wie DNSSEC in Ihre Internetsicherheitsstrategie passt.
  • Entdecken Sie die Vorteile und Herausforderungen bei der Implementierung von DNSSEC.
  • Informieren Sie sich über öffentliche Schlüsselkryptografie, Verschlüsselungsstandards und das Zusammenspiel digitaler Signaturen mit öffentlichen/privaten Schlüsseln.
  • Stellen Sie sicher, dass Ihre IT- und Kundensupportmitarbeiter entsprechende Schulungen erhalten.
  • Planen Sie Strategien, um Registranten über DNSSEC zu informieren.

Planen

  • Setzen Sie einen Zeitrahmen für die Implementierung von DNSSEC fest.
  • Legen Sie fest, wie Sie DNSSEC in Ihre vorhandene DNS-Architektur integrieren möchten.
  • Entscheiden Sie sich für eine Implementierungsoption: interne Implementierung, Erwerb handelsüblicher DNSSEC-fähiger DNS-Produkte oder Managed Services.

Bewerten und Aktualisieren

  • Bestimmen Sie, ob DNSSEC sich auf die Netzwerkbandbreite auswirkt und wie genau diese Auswirkungen aussehen. (DNSSEC erhöht den Netzwerkverkehr.)
  • Ziehen Sie in Betracht, wie DNSSEC sich auf die DNS-Verwaltung auswirkt.
  • Überprüfen und aktualisieren Sie die Richtlinien und die Sicherheit der Schlüsselverwaltung, um Schlüsseländerungen einzuplanen, neue DNSSEC-bezogene Rollen und Verantwortungen einzubeziehen und eine sichere Speicherung der Schlüssel zu gewährleisten.
  • Vergewissern Sie sich, dass Ihr Netzwerk richtig konfiguriert ist und Ihre Zonendefinitionen präzise und vollständig sind.
  • Erkundigen Sie sich bei Ihren Hardware-Anbietern, ob diese DNSSEC in ihre Roadmap integrieren können und ob Upgrades für Ihre vorhandenen Netzwerkgeräte vorhanden sind.
  • Aktualisieren Sie Ihre DNS-Hardware und Namenserver-Software bei Bedarf, sodass sie mit DNSSEC kompatibel ist.
  • Bewerten Sie Produkte und Services, die Ihre Implementierung unterstützen.

Zusammenarbeiten

  • Melden Sie sich beim Verisign Registrar Forum an.
  • Nutzen Sie die Verisign Operational Test Environment (OTE) zum Test Ihrer DNSSEC-Implementierung.
  • Arbeiten Sie mit Industriekonsortien, Normungsorganisationen und Anbietern von Software und Hardware zusammen, um Lösungen und Herangehensweisen zu entwickeln, die den Bedürfnissen Ihres Unternehmens entsprechen.

Verisign ist bemüht, die Kosten für Ihre DNSSEC-Implementierung zu senken und Ihnen dabei zu helfen, die für Sie beste Strategie zur DNSSEC-Implementierung zu finden. Verisign bietet die folgenden Tools und Services zur Implementierung von DNSSEC für die Registrar-Community:

  • Die Marke und Kunden der Registranten schützen.
  • Das Vertrauen und die Loyalität der Registranten stärken.
  • Auf Sicherheit und ihren guten Ruf bedachte Registranten gewinnen und halten.
  • Neue Serviceangebote wie das Signieren von Zonen für Registranten bereitstellen.
  • DNS für neue Arten sicherer Datentransaktionen nutzen (z. B. die Veröffentlichung anderer Arten öffentlicher Schlüssel und die Authentifizierung von E-Mail-Absendern).
  • Ihr Kerngeschäft schützen, indem Sie mehr Vertrauen ins Internet schaffen.
  • Ihre Führungsposition und Ihren Einfluss nutzen, um die Zukunft von DNSSEC mitzugestalten.

Verisign ist bemüht, die Kosten für Ihre DNSSEC-Implementierung zu senken und Ihnen dabei zu helfen, die für Sie beste Strategie zur DNSSEC-Implementierung zu finden. Verisign bietet die folgenden Tools und Services zur Implementierung von DNSSEC für die Registrar-Community:

Find out if your website is DNSSEC enabled]]>

Mithilfe der umfassenden operativen Testumgebung von Verisign können Sie die technische DNSSEC-Implementierung lange vor der geplanten DNSSEC-Aktivierung auf .net und .com testen.

Die OTE ist eine Nachbildung der .net- und .com-Registry-Plattformen, die Sie bei der Produktion implementieren. Die umfassende Umgebung ermöglicht Ihnen das Senden, Registrieren und Auflösen von Namen mit DS(Delegation Signer)-Einträgen für .net- und .com-Domains. Sie können die OTE auch verwenden, um die Integration von Frontend-Anwendungen für Kunden und Funktionen zum Signieren von Schlüsseln zu testen.

Die OTE beinhaltet folgende Komponenten:

  • Registry-Backend: Nachbildung einer Backend-Registry, die Test-Domainnamen und Test-DS-Daten über eine operative Registry-EPP-Schnittstelle und eine Web-Schnittstelle erfasst. Dieses nachgebildete Registrierungssystem aktualisiert Zonendateien auf Test-Namenservern.

  • Registry-Backend: Nachbildung einer Backend-Registry, die Test-Domainnamen und Test-DS-Daten über eine operative Registry-EPP-Schnittstelle und eine Web-Schnittstelle erfasst. Dieses nachgebildete Registrierungssystem aktualisiert Zonendateien auf Test-Namenservern.

Das technische Online-Forum für DNSSEC ermöglicht es Ihren technischen Mitarbeitern, Best Practices auszutauschen und an offenen Diskussionen über DNSSEC mit Kollegen und Verisign-Ingenieuren teilzunehmen. Ihre Mitarbeiter erhalten außerdem Unterstützung bei der Implementierung, Signierung und Schlüsselverwaltung, Updates zu DNSSEC-Neuerungen und -Entwicklungen, den DNSSEC Tool Guide und mehr. Dieses wertvolle Kollaborationstool ist vertraulich und sicher.

Melden Sie sich im DNSSEC Technical Online Forum an. (Der Zugriff hängt von NameStore-Anmeldedaten und Zugriffsbeschränkungen ab.) Sie haben keinen Zugriff? Kontaktieren Sie uns.

Der DNSSEC Tool Guide ist über das DNSSEC Technical Online Forum (siehe oben) verfügbar. Er beinhaltet einen Überblick über Open Tource-Tools und verfügbare marktorientierte Lösungen, eine Gegenüberstellung von Tools, Tipps zur Schlüsselverwaltung, ein Tool für Zonenschlüssel und DNSSEC-Tools.

Access the Tool Guide Series on DNSSEC (PDF).

Das Verisign DNSSEC Software Development Kit (SDK) ermöglicht Ihnen eine einfachere Integration Ihrer Namenserver in die DNSSEC-Systeme von Verisign. Sie können auch unsere EPP-SDK-Tools verwenden, um EPP-Befehle auszuprobieren oder zu validieren, ohne ein Programm zu erstellen.

EPP-SDK öffnen.

Technische Bootcamps sind ganztägige Beratungen mit den führenden DNSSEC-Entwicklungsingenieuren von Verisign. Thematisiert werden die von uns entwickelten Systeme, EPP-Schnittstellen und DNSSEC-Anforderungen für Registrare.

Weitere Informationen über DNSSEC Technical Boot Camps.

Der DNSSEC Analyzer ist ein webbasiertes Tool, das gewährleistet, dass die "Vertrauenskette" für einen bestimmten DNSSEC-fähigen Domainnamen intakt ist. Das Tool zeigt eine stufenweise Validierung eines bestimmten Domainnamens und stellt die ermittelten Probleme heraus.

Finden Sie heraus, ob Ihre Website DNSSEC-fähig ist

Weitere InfosWeniger lesen

BENÖTIGEN SIE WEITERE INFORMATIONEN?

Rechtliche Hinweise// Datenschutz// Repository// Kontakt// Sitemap


© 2011-2013 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder unregistrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Staaten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.