W

  • Was ist DNSSEC?
    DNSSEC (Domain Name System Security Extensions) umfasst sicherheitsbezogene Erweiterungen des DNS-Standards. Spezifiziert wird DNSSEC u.a. in folgenden RFCs: RFC4033 RFC4034 RFC4035 DNSSEC ermöglicht es, DNS-Daten (ganze ...
  • Warum existieren die DNSSEC-Erweiterungen?
    Das DNS-System ohne DNSSEC besitzt die beiden o.g. Sicherheitsmerkmale (Quellenauthentifizierung und Datenintegrität) nicht. Es gibt zwar rudimentäre Verfahren um möglichst sicherzustellen, dass Nameserver auf ihre ...
  • Wann hilft DNSSEC?
    DNSSEC stellt sicher, dass die Quelle der DNS-Daten korrekt ist und dass die Daten während der Übertragung nicht modifiziert wurden. Es hilft also sicher zu stellen, ...
  • Wann hilft DNSSEC nicht?
    DNSSEC wirkt lediglich auf Basis des DNS und sichert nicht die der DNS-Anfrage vorausgehenden und darauf folgenden Kommunikationsschritte ab. Es werden z.B. keine Vertipper bei ...
  • Wo wird DNSSEC bereits eingesetzt?
    Inzwischen ist DNSSEC für eine Reihe von Topleveldomains produktiv verfügbar, bei anderen in Vorbereitung oder im Testbetrieb. Im Detail (Stand 05/2010) sind dies die folgenden TLDs: ...
  • Was genau ist das von der DENIC durchgeführte DNSSEC-Testbed?
    Im Rahmen des Testbeds wird DNSSEC für .de in einer Testumgebung zur Verfügung gestellt und DNSSEC signierte .de-Zonen können ihre DNSKEY-Einträge in diese Testumgebung veröffentlichen. Ziel ...
  • Wie funktioniert DNSSEC?
    DNSSEC fügt dem DNS weitere Arten von Einträgen (Resource-Records) hinzu, mit denen Signaturen, Schlüssel und Schlüsselverweise im DNS veröffentlicht werden können. Die Absicherung einer Zone geschieht ...
  • Was ist eine Vertrauenskette?
    Eine Vertrauenskette besteht bei DNSSEC aus einer hierarchischen Abfolge von DNSKEY-Records und DS-Records (Delegation Signer). Die Kette beginnt mit einem DNSKEY, dem der Resolver vertraut. Dieser ...
  • Was ist eine DLV?
    DLV steht für "DNSSEC Look-aside Validation" und bezeichnet ein Repository für Schlüssel, die als vertrauenswürdig eingestuft werden. Ein solches DLV-Repository kann beliebige Startpunkte im DNS-Baum als ...
  • Wer muss DNSSEC unterstützen, damit es funktioniert?
    DNSSEC muss sowohl auf Seiten der Anbieter (Domaininhaber, Provider, Registry) als auch auf Seite des Kunden (DSL-Kunde / ISP, validierende Resolver beim ISP oder Kunden) ...
  • Welche zusätzlichen DNS Einträge gibt es?
    DNSKEY (DNSSEC Key): Dient zur Veröffentlichung des öffentlichen Teils eines DNSSEC-Schlüssels. Dies kann sowohl der Zone-Signing-Key als auch der Key-Signing-Key sein. RRSIG (RRSET Signature): ...
  • Was ist ein ZSK, was ist ein KSK?
    Ein ZSK (Zone-Signing-Key) ist ein DNSSEC-Schlüssel, der verwendet wird, um die Einträge innerhalb einer DNS-Zone zu signieren. Der KSK (Key-Signing-Key) ist ein DNSSEC-Schlüssel, der ausschließlich verwendet ...
  • Warum ist ein regelmäßiger Wechsel der Schlüssel notwendig?
    Wie bei allen Verschlüsselungsverfahren gibt es auch bei der im DNSSEC verwendeten Public-Key-Kryptografie Angriffsszenarien. Diese Angriffe benötigen abhängig von der Schlüssellänge eine meist immense Rechenleistung und ...
  • Welche Schlüssellänge ist sinnvoll?
    Über sinnvolle Schlüssellängen und deren entsprechende Gültigkeitsdauer gibt es unterschiedliche Meinungen. So wird z.B. von RFC4641 (DNSSEC Operational Practices) eine Schlüssellänge zwischen 1024 und 2048 für ...
  • Welche Key-Rollover-Strategien gibt es bei DNSSEC?
    RFC4641 ("DNSSEC Operational Practices") beschreibt zwei verschiedene Strategien: Pre-Publish In der Zone wird ein neuer DNSKEY bereits einige Zeit vor Benutzung veröffentlicht. Zu einem ...
  • Was ist ein RRSIG-Record?
    RRSIG (RRSET Signature): Enthält die Signatur eines DNS-Resource-Record-Sets, also einer Menge von DNS-Einträgen gleichen Typs und Namens. Die Signatur kann anhand des entsprechenden DNSKEY-Eintrags überprüft werden. Weitere ...
  • Was ist ein NSEC-Record?
    Mithilfe von NSEC sind auch Negativ-Antworten (Eintrag x gibt es nicht) validierbar. Ohne NSEC könnten böswillig Teile eines DNS-Antwortpaketes gelöscht werden, so dass es für ...
  • Was ist ein NSEC3-Record?
    NSEC3 stellt eine Weiterentwicklung von NSEC dar, die das ungewünschte Auflisten kompletter Zonen (Zone Walking) umgeht, da die Einträge nicht mehr im Klartext sondern als Hash-Wert ...
  • Welche Browser unterstützten DNSSEC - bzw. ist das überhaupt notwendig?
    Eine direkte Unterstützung für DNSSEC durch Client-Programme u.a. Browser ist nicht notwendig, allerdings ist sie durchaus möglich. Normalerweise kümmert sich das Betriebssystem um die Namensauflösung und somit ...
  • Welche Betriebssysteme unterstützen DNSSEC?
    Für alle Windows-Versionen bis inkl. Windows XP gilt: sie unterstützen DNSSEC nicht. DNSSEC-Validierung kann in diesem Fall nur durch validierende Resolver des Zugangsproviders erreicht werden. Windows ...
  • Welche Abläufe sind wichtig, wenn DNSSEC-Schlüssel vom Domaininhaber verwaltet werden?
    Wenn der Kunde die DNSSEC-Schlüssel selbst verwaltet, wird er an Dritte nur den öffentlichen Schlüssel herausgeben. Der Kunde muss dementsprechend seine Zonen selbst signieren muss und diese ...
  • Was kann man tun, wenn der aktueller Domainprovider eine DNSSEC-Signierung nicht unterstützt?
    Es gibt zwei Komponenten die ein Domainprovider leisten kann: Erstens den DNS-Betrieb und die damit verbundene Signierung der Zonen. Diese Tätigkeit lässt sich entweder selbst übernehmen ...
  • Welche Abläufe sind zu beachten, wenn Domainverwaltung und DNS-Service von unterschiedlichen Dienstleistern betrieben werden?
    Falls die Schlüssel vom Kunden selbst erzeugt werden, so muss jeder erzeugte Schlüssel zuerst dem DNS-Provider mitgeteilt werden, damit er diesen sowohl als DNSKEY-Record als auch ...
  • Wie wird eine Zone signiert?
    Es gibt verschiedene Möglichkeiten eine Zone zu signieren. Grundsätzlich sollte unterschieden werden, ob die Zone auf dem Nameserver signiert wird oder im Vorhinein erzeugt, signiert ...
  • Wie werden Schlüssel erzeugt?
    Die Schlüsselerzeugung sollte von der von Ihnen verwendeten DNSSEC-Software geleistet werden. Eine händische Schlüsselerzeugung ist möglich, es wird aber davon abgeraten, solange man nicht über tiefergehendes ...
  • Wie wird der DS-Eintrag publiziert?
    Der Betreiber der übergeordneten Zone, in der die DS-Records publiziert werden sollen, muss eine entsprechende Möglichkeit zur Verfügung stellen. Falls die übergeordnete Zone eine TLD-Zone ist, ...
  • Wann werden DS-Einträge gewechselt?
    Dies hängt von der Implementierung der Registry ab. Zonen-Reloads der DNSSEC-signierten TLD-Zone finden üblicherweise nicht sofort nach Änderung eines DS-Eintrags statt, sondern zu festgelegten Zeiten in ...
  • Wie können signierte Zonen überprüft werden?
    Es gibt diverse Tools, um DNSSEC-signierte Zonen zu testen. Einige davon sind auf Webseiten von Registries verfügbar, andere sind als Command-Line Tool z.B. unter Linux verfügbar. ...
  • Welche Debug-Möglichkeiten gibt es?
    DNSSEC-Online Tests bieten eine erste Möglichkeit Fehlern auf die Spur zu kommen. So bietet http://dnscheck.iis.se/ eine detailierte Ausgabe von Testergebnisse. Allerdings werden dort die für ...
  • Wann ist ein Notfall-Rollover notwendig?
    Sollte sich herausstellen, dass ein Angriff auf eine Zone stattfindet, bei der offenbar korrekt signierte aber gefälschte Daten in Umlauf gebracht werden, ist von einer öffentlichen ...
  • Wie veröffentlicht man DS-Records in einem DLV Repository?
    Dies ist vom DLV-Repository abhängig. Einträge in das DLV-Repository der ISC können per Webinterface von Hand durchgeführt werden. Der mitgeteilte DNSKEY-Eintrag wird angenommen und zur Sicherstellung ...
  • Wie funktioniert die DNSSEC-Schnittstelle der DENIC?
    Diese Information ist Registraren der DENIC vorbehalten und kann dort erfragt werden. ...
  • Welche DNSSEC-Tools und -Libraries gibt es, um DNSSEC zu implementieren?
    Eine gute Sammlung vorhandener Tools findet sich unter: https://www.dnssec-deployment.org/wiki/index.php/Tools_and_Resources Exemplarisch seien drei Tools/Libraries hier genannt: Bind 9 Die aktuelle Version des Bind von ISC liefert Tools ...
  • Wie installiert man einen validierenden Resolver?
    Beispiel: ISC Bind http://www.nlnetlabs.nl/publications/dnssec_howto/index.html#x1-60002 Beispiel: Unbound http://www.unbound.net/documentation/howto_setup.html http://www.unbound.net/documentation/howto_anchor.html http://www.ripe.net/ripe/meetings/ripe-56/presentations/Wijngaards-Unbound_DNSSEC_Validating_Resolver.pdf ...
  • Was passiert im Falle einer fehlerhaften DNSSEC-signierten Zone?
    Ein validierender Resolver wird bei einer fehlerhaften Validierung SERVFAIL zurückliefern. Diese Antwort ist nicht DNSSEC spezifisch und kann in vielen anderen Fällen ebenfalls zurückgeliefert werden, allerdings ...
  • Wie vollzieht man die Validierung einer bestimmten DNS-Anfrage nach?
    Siehe "Welche Debug-Möglichkeiten gibt es?" ...
  • Wie nutzt man das DNSSEC-Testbed der DENIC?
    Siehe http://www.DENIC.de/domains/dnssec/status/resolver-konfiguration.html ...
  • Welche Möglichkeiten gibt es, während der DNSSEC-Testphase der DENIC, DNSSEC-Validierungsfehler zu beheben?
    Die einfachste Möglichkeit ist das vorübergehende Abschalten der Validierung im Resolver, falls der Resolver lediglich zum Test eingesetzt wird. Wird der Resolver im Produktivbetrieb eingesetzt, ...