Das DNSSEC-Testbed der DeNIC nutzen

28. Mai 2010, 09:21 | Autor: Marc | Kategorie(n) Allgemeines.

Seit 2. Juli 2009 testet die DeNIC zusammen mit dem BSI und verschiedenen Providern des eco die Signierung der de-Zone mittels DNSSEC im Rahmen eines eigenen Testbed.

Wer über einen Resolver verfügt, der den Algorithmus RSASHA256 beherrscht (Unbound ab 1.4 oder BIND ab 9.7), kann die beiden DNSSEC-Nameserver der DeNIC in Frankfurt und Amsterdam nutzen. Der Server in Frankfurt kann dabei auch IPv6. Konfigurationsbeispiele für BIND und Unbound sind auf der DeNIC-Seite angegeben.

Eigene de-Domains lassen sich natürlich auch signieren. Damit die Chain-of-Trust (im Idealfall sieht die folgendermaßen aus: . (Root-Zone) -> de. -> example.de.) vollständig ist, muss aber der öffentliche Teil des Schlüssels bei der DeNIC hinterlegt werden und hier spielen bisher leider nur wenige Provider mit. Mir ist aktuell nur Hostserver bekannt, der auch die Registration der Domain tech-nerds-dnssec.de übernommen hat. Die Domain ist selbstverständlich signiert und eignet sich so auch, um den eigenen Resolver zu testen. Das geht in gewohnter Weise mit dem Tool dig.
dig +dnssec tech-nerds-dnssec.de

Wenn dig hier das Flag ad ausgibt, konnte die Antwort erfolgreich authentifiziert werden.

dig +dnssec tech-nerds-dnssec.de

QR Code für Das DNSSEC-Testbed der DeNIC nutzen

 

Kommentieren