Auch auf dem 4. DNSSEC-Meeting von DENIC, eco und BSI am 24.11. 2010 war die Hostserver GmbH vertreten. Die Meetings finden im Rahmen des aktuell laufenden DNSSEC-Testbed für die Zone .de in den Räumen der Denic eG in Frankfurt am Main statt.
4. Meeting zum DNSSEC-Testbed für .de
Beim 4. öffentlichen DNSSEC-Testbed Meeting Ende November wurden die aktuellen Erfahrungen und Ergebnisse der DNSSEC-Testphase für .de zusammengefasst und im zweiten Teil verschiedene Softwarelösungen zum einfachen Signieren von DNS-Einträgen vorgestellt. Die Folien und Vorträge findet man online.
Agenda, 4. Meeting zum DNSSEC Testbed
http://www.denic.de/domains/dnssec/…
Präsentationen und Livemittschnitt der Vorträge
http://www.denic.de/domains/dnssec/…
Mehr Verständnis und Erfahrungen mit DNSSEC
Während beim initialen Meeting zum DNSSEC-Testbed vom 02. Juli 2009 noch eine geringe Sensibilisierung für das Thema und kaum Erfahrungsberichte zu Software- und / oder Hardwareunterstützung und Best-Practices für DNSSEC zur Verfügung standen, stellt das Thema mittlerweile unter Providern, Registraren, Hard- und Softwareherstellern und zuständigen Behörden kein großes Fragezeichen mehr dar.
Weiter offene Fragen
Es liegen erste Erfahrungen aus dem DNSSEC-Testbed im Umgang mit DNSSEC vor, im Detail bleiben aber immer noch viele Fragen offen, wie z.B. die Frage nach dem optimalen Umgang bei einem Providerwechsel sowie die Frage nach einem möglichst standardisierten Weg, um das Schlüsselmaterial für eine Domain bei der Registry zu hinterlegen, wenn man als Nameserver-Betreiber nicht selbst akkreditierter Domainregistrar ist.
Trend: Softwarelösungen vereinfachen den Signatur- und Verwaltungsprozess
Im zweiten Teil des DNSSEC-Meetings wurden Tools, Appliances und Softwarelösungen präsentiert. Dabei geht der Trend dahin, dass man mittels weniger Klicks in einer Weboberfläche eine DNS-Zone signieren und gleichzeitig auch die weiteren Parameter für eine Schüsselgenerierung wie z.B. die Schlüssellänge oder die Rollover-Intervalle leicht über grafische Benutzeroberflächen eingeben kann.
Anzahl der signierten Domainendungen (TLD) in der Rootzone wächst weiter
Insgesamt haben bislang 64 TLDs ihr Schlüsselmaterial in der Rootzone hinterlegt. Auch die großen generischen Domainendungen wie .com und .net haben ihre DNSSEC-Implementierung für Anfang 2011 angekündigt.
OpenDNSSEC vorgestellt.
Als eine der vielversprechensten Softwarelösungen wurde OpenDNSSEC in einem eigenen Vortrag vorgestellt.
Für diejenigen, die ihre Nameserver selbst mit DNSSEC betreiben möchten, bietet die Software von OpenDNSSEC eine Möglichkeit, das Signieren der DNS-Zonen zu automatisieren und liefert gleichzeitig einen innovativen Ansatz für zusätzliche Sicherheit im Betrieb mit einem eigenen Validator.
OpenDNSSEC
http://http://www.opendnssec.org/
OpenDNSSEC wird bereits von 3 europäischen Registries genutzt und einer Umfrage nach planen weitere 75 % der europäischen ccTLD Betreiber diese Softwarelösung für DNSSEC einzusetzen.