DNSSEC voor registrars

DNSSEC is een bedrijfsprioriteit van de registrar, gedreven door interne vereisten zoals risicobeheer en de behoefte van klanten aan een veiligere internetervaring.

DNSSEC (Domeinnaamsysteem beveiligingsuitbreidingen) biedt nieuwe kansen en uitdagingen voor registrars. Verisign hecht veel waarde aan de samenwerking met zijn registrar-partner om DNSSEC zo eenvoudig en waardevol mogelijk te maken. Kom meer te weten over wat DNSSEC voor u kan betekenen, over de stappen die u kunt nemen ter voorbereiding op DNSSEC en over de wijze waarop de tools, informatie en andere bronnen van Verisign kunnen helpen bij het doeltreffend plannen, testen en implementeren van DNSSEC.

Waarom nu handelen? Wat moet u doen? Waar kunt u beginnen? Hulpmiddelen

Registrars spelen een sleutelrol bij het slagen van DNSSEC. Sommige internetaanbieders en .net-/.com-registrars implementeren DNSSEC al. Verisign adviseert een nauwkeurige, methodische aanpak omdat de implementatie van DNSSEC een complex proces is. Registrars moeten snel een begin maken zodat ze ruimschoots de tijd hebben om hun producten te plannen, ontwikkelen, testen en af te stemmen.

Door nu van start te gaan, kunt u een reputatie opbouwen als rolmodel met oog voor veiligheid, uzelf onderscheiden van concurrenten en een voorsprong krijgen op nieuwe winstkansen. U kunt mogelijk nog invloed uitoefenen op de ontwikkeling van producten en services en andere initiatieven binnen deze branche, die ondersteuning en rendement bieden aan uw bedrijf.

Voordelen voor proactieve registrars

Wanneer u deze belangrijke laag proactief toevoegt, doet u het volgende:

  • Helpen bij de bescherming van de merknaam en klanten van inschrijvers.
  • Het vertrouwen en de loyaliteit van inschrijvers behouden.
  • Klanten die geïnteresseerd zijn in beveiliging en reputatie aantrekken en behouden.
  • Nieuwe services creëren, zoals het ondertekenen van zones voor inschrijvers.
  • De mogelijkheid bieden DNS te gebruiken voor nieuwe types beveiligde gegevenstransacties, bijvoorbeeld andere types openbare sleutels publiceren en de authenticiteit van e-mail nagaan.
  • Uw kernactiviteiten beschermen door het vertrouwen in het internet te vergroten.
  • Leiderschap en invloed uitoefenen om de toekomst van DNSSEC vorm te geven.

Met DNSSEC worden complexe wijzigingen geïntroduceerd waar alle partijen in de keten van DNS-aanvragen en -omzetting mee te maken krijgen. Dit geldt vooral voor registrars en andere hosting-instanties die gezaghebbende naamservers beheren en sleutelbeheerservices voor inschrijvers leveren. Wij hebben de tools geleverd en werken met u samen om voor een geslaagde implementatie van DNSSEC te zorgen.

U moet de domeinnamen van de inschrijvers ondertekenen om de nieuwe services te ontwikkelen waar inschrijvers waarschijnlijk om zullen vragen wanneer DNSSEC is geïmplementeerd. DNSSEC activeren voor een inschrijver omvat het volgende:

  • Openbare/persoonlijke sleutelparen voor de domeinnaam maken.
  • De zone maken en ondertekenen.
  • De sleutelparen beheren.

Met deze processen wordt ervoor gezorgd dat DNSSEC-resolvers binnen het internetecosysteem de authenticiteit kunnen verifiëren van antwoorden die via de zone worden ontvangen.

U moet ook de interface met uw klanten wijzigen zodat DNSSEC-sleutelgegevens worden geaccepteerd, en uw EPP-interface (Extensible Provisioning Protocol) wijzigen zodat DNSSEC-sleutelgegevens worden doorgegeven aan de registers waarmee u communiceert.

Zone ondertekenen
De volgende stappen moeten worden uitgevoerd om een zone in te stellen en te ondertekenen:

  • ZSK's (Handtekeningsleutels van zone) instellen, waarmee de records van de zone worden ondertekend
  • KSK's (Key Signing Keys) instellen, waarmee de sleutelrecords in de zone worden ondertekend en de vertrouwenshiërarchie wordt opgebouwd
  • Een niet-ondertekende zone genereren
  • De zone ondertekenen
  • Het ondertekeningssysteem testen in een offline testomgeving
  • Het ondertekenen gefaseerd invoeren, bijvoorbeeld door het eerst op interne netwerken te gebruiken om te controleren dat alles goed blijft werken

Continu sleutelbeheer
Voor DNSSEC moet u routinematig privésleutels wijzigen om het risico te verkleinen dat de sleutel in handen van kwaadaardige personen of organisaties komt. Bij een sleutelroll-over wordt het sleutelpaar van een zone gewijzigd en wordt de zone opnieuw ondertekend met de nieuwe privésleutel. Bij een roll-over van een KSK moet u het register bijwerken met de nieuwe openbare-sleutelgegevens (DS-records).

Het proces van sleutelbeheer omvat de volgende taken:

  • Sleutelroll-overs (gepland en bij noodsituaties) voor ZSK's en KSK's verwerken
  • Het opnieuw ondertekenen van beveiligingsbronrecords gepland uitvoeren
  • De bovenliggende zone bijwerken met DS-records (Delegation signer) op basis van de KSK's

Extra overwegingen
Voor het hosten van een ondertekende zone moeten DNSSEC-compatibele naamservers zijn geïmplementeerd. Voor het beheer van sleutels is gespecialiseerde DNSSEC-hardware en -software vereist. De implementatie en het beheer van deze onderdelen is een complex en tijdrovend proces. U kunt kiezen uit verschillende opties: ontwikkel een eigen DNSSEC-oplossing, schaf gebruiksklare DNSSEC-geactiveerde DNS-producten aan, of werk samen met een gekwalificeerde aanbieder van beheerde services die de ondertekening en het sleutelbeheer van DNSSEC verzorgt.

Als u voor een eigen of gebruiksklare oplossing kiest, moet u de integratie van nieuwe apparaten in uw systeem nauwgezet plannen. U moet de implementatie van de oplossing ook buiten de productieomgeving testen om te controleren dat apparaten goed blijven functioneren wanneer DNSSEC is ingeschakeld. Hiervoor is de OTE (Operational Test Environment of Operationele testomgeving) van Verisign gratis beschikbaar voor .net- en .com-registrars.

U moet ook nagaan of uw oudere en huidige netwerkapparaten DNSSEC ondersteunen. Controleer bijvoorbeeld of uw apparaten DNSSEC-pakketten kunnen verwerken, die groter kunnen zijn dan traditionele pakketten en of ze het TCP (Transmission Control Protocol) en de extensiemechanismen voor DNS-pakketten ondersteunen.

Registrars kunnen weloverwogen stappen nemen om een DNSSEC-systeem te verwezenlijken waardoor ze het vertrouwen van inschrijvers en eindgebruikers behouden en kunnen profiteren van nieuwe winstkansen en concurrentievoordelen. Op basis van inzichten van industriedeskundigen en ervaring die we hebben opgedaan door implementatie van DNSSEC in de hoofdzone, .edu, .net en .com, raden we de volgende stappen aan om van start te gaan.

Verkennen en trainen

  • Zorg dat u een duidelijk beeld hebt van de wijze waarop DNSSEC in uw cyberbeveiligingsstrategie past.
  • Zorg dat u op de hoogte bent van de voordelen en uitdagingen die de implementatie van DNSSEC met zich meebrengt.
  • Zorg dat u op de hoogte bent van de standaarden die gelden voor openbare sleutels, cryptografie en codering en hoe digitale handtekeningen en openbare/persoonlijke sleutels met elkaar werken.
  • Zorg ervoor dat de medewerkers van de IT-afdeling en klantenondersteuning de juiste training krijgen.
  • Plan strategieën om inschrijvers meer informatie te verstrekken over DNSSEC.

Plannen

  • Stel een tijdlijn op voor de implementatie van DNSSEC.
  • Beslis hoe u DNSSEC wilt integreren in uw bestaande DNS-architectuur.
  • Kies een implementatieoptie: ontwikkel uw eigen oplossing, kies voor gebruiksklare DNSSEC DNS-producten of maak gebruik van beheerde services.

Evalueren en bijwerken

  • Bepaal de eventuele impact van DNSSEC op netwerkbandbreedte. (DNSSEC verhoogt het netwerkverkeer.)
  • Overweeg het effect van DNSSEC op DNS-beheer.
  • Evalueer het beleid en de beveiliging voor sleutelbeheer en werk het bij met planningen voor sleutelroll-overs, nieuwe functies en verantwoordelijkheden die door DNSSEC worden geïntroduceerd en veilige opslag van sleutels.
  • Zorg dat uw netwerk goed is geconfigureerd en dat zonedefinities accuraat en volledig zijn.
  • Vraag hardwareleveranciers waar DNSSEC in hun schema past en of er upgrades beschikbaar zijn voor uw bestaande netwerkapparaten.
  • Werk DNS-hardware en naamserversoftware waar nodig bij, zodat deze compatibel is met DNSSEC.
  • Evalueer de producten en services die uw implementatie ondersteunen.

Deelnemen

  • Meld u aan voor het Verisign-forum voor registrars.
  • Test uw DNSSEC-implementatie in de OTE (Operational Test Environment of Operationele testomgeving) van Verisign.
  • Werk samen met industrieconsortiums, organen voor standaarden en software- en hardwareleveranciers om oplossingen en procedures te ontwikkelen die aansluiten op de behoeften van uw organisatie.

Verisign legt zich erop toe de kosten van uw DNSSEC-implementatie te verlagen en u te helpen de beste DNSSEC-implementatiestrategie voor uw situatie te bepalen. We hebben de volgende tools en services ontwikkeld voor registrars om de implementatie van DNSSEC te vereenvoudigen:

  • Helpen bij de bescherming van de merknaam en klanten van inschrijvers.
  • Het vertrouwen en de loyaliteit van inschrijvers behouden.
  • Klanten die geïnteresseerd zijn in beveiliging en reputatie aantrekken en behouden.
  • Nieuwe services creëren, zoals het ondertekenen van zones voor inschrijvers.
  • De mogelijkheid bieden DNS te gebruiken voor nieuwe types beveiligde gegevenstransacties, bijvoorbeeld andere types openbare sleutels publiceren en de authenticiteit van e-mail nagaan.
  • Uw kernactiviteiten beschermen door het vertrouwen in het internet te vergroten.
  • Leiderschap en invloed uitoefenen om de toekomst van DNSSEC vorm te geven.

Verisign legt zich erop toe de kosten van uw DNSSEC-implementatie te verlagen en u te helpen de beste DNSSEC-implementatiestrategie voor uw situatie te bepalen. We hebben de volgende tools en services ontwikkeld voor registrars om de implementatie van DNSSEC te vereenvoudigen:

Find out if your website is DNSSEC enabled]]>

U kunt de end-to-end Operationele testomgeving van Verisign gebruiken om uw technische DNSSEC-implementatie ruimschoots voor de geplande DNSSEC-activering van .net en .com te testen.

De OTE is een reproductie van de .net- en .com-registerplatforms die u in de productiefase implementeert. Dankzij de end-to-end omgeving kunt u namen met DS-records (Delegation Signer) voor de .com- en .net-domeinen indienen, registreren en omzetten. U kunt de OTE ook gebruiken om de integratie van klantgerichte front-end toepassingen en de functies van sleutelondertekening te testen.

De OTE bestaat uit de volgende onderdelen:

  • Back-end van register—Een replica van een back-end-register dat testdomeinnamen en test-DS-gegevens kan accepteren via een functionerende EPP-interface van een register en een webgebruikersinterface. Deze replica biedt updates van zonebestanden om naamservers te testen.

  • Back-end van register—Een replica van een back-end-register dat testdomeinnamen en test-DS-gegevens kan accepteren via een functionerende EPP-interface van een register en een webgebruikersinterface. Deze replica biedt updates van zonebestanden om naamservers te testen.

Via het technische onlineforum voor DNSSEC kunnen uw technische medewerkers aanbevolen procedures delen en deelnemen aan open discussies over DNSSEC met collega's en Verisign-engineers. Uw medewerkers profiteren ook van ondersteuning bij de implementatie, richtlijnen voor ondertekening en sleutelbeheer, DNSSEC-nieuws en -ontwikkelingen, de handleiding voor DNSSEC-tools en nog meer. Dit nuttige hulpmiddel voor samenwerking is veilig en privé.

Meld u aan bij het technische onlineforum voor DNSSEC. (Toegang onderhevig aan NameStore-referenties en toegangsbeperkingen.) Geen toegang? Neem contact met ons op.

De handleiding voor DNSSEC-tools is beschikbaar via het technische onlineforum van DNSSEC (zie hierboven). In deze handleiding worden open-sourcetools besproken, evenals oplossingen die op de markt verkrijgbaar zijn, een tabel waarin tools worden vergeleken, richtlijnen voor sleutelbeheer, een tool voor zonesleutels en DNSSEC-tools.

Toegang tot de Tool Guide Series op DNSSEC (PDF).

Met de Verisign DNSSEC SDK (Software Development Kit) kunt u uw naamservers gemakkelijker integreren met de DNSSEC-systemen van Verisign. U kunt onze EPP SDK-tools ook gebruiken om te experimenteren met EPP-opdrachten of deze te valideren zonder een programma te bouwen.

Toegang tot de EPP SDK.

Technische trainingen zijn sessies van een dag die worden geleid door toonaangevende DNSSEC-ontwikkelingsingenieurs van DNSSEC. Ingenieurs bespreken huidige ontwikkelingen, hoe de EPP-interfaces eruit zien, en DNSSEC-vereisten voor registrars.

Meer informatie over onze DNSSEC Technische trainingen.

De DNSSEC Analyzer is een hulpmiddel op het web om te verzekeren dat de "vertrouwensketen" intact is voor een specifieke DNSSEC-domeinnaam. De toepassing toont het stapsgewijze validatieproces van een gegeven domeinnaam en markeert eventuele problemen.

Kom te weten of DNSSEC voor uw website is ingeschakeld

meer lezenminder lezen

WILT U MEER INFORMATIE?

Juridische kennisgevingen// Privacy// Database// Contact opnemen// Siteoverzicht


© 2011-2013 VeriSign, Inc. Alle rechten voorbehouden.
VERISIGN, het VERISIGN-logo en andere handelsmerken, servicemerken en designs zijn gedeponeerde of niet-gedeponeerde handelsmerken van VeriSign, Inc. en zijn dochterondernemingen in de Verenigde Staten en andere landen. Alle andere handelsmerken zijn het eigendom van hun respectieve eigenaars.