imgSubHeaderWhyVerisignAlt
Innovation und Initiativen

Da das Internet weiterhin expandiert, haben wir uns zum Ziel gesetzt, die Entwicklung und den Fortschritt eines schnelleren, sicheren und zuverlässigeren Internets für alle Benutzer voranzutreiben.

ISPs

Domain Name System Security Extensions (DNSSEC) ermöglichen es ISPs, den Tausenden von Kunden, die sicher über das Internet arbeiten, lernen, spielen und kommunizieren möchten, ein besseres Erlebnis zu bieten. Verisign arbeitet mit ISPs zusammen, um DNSSEC zu vereinfachen und zu standardisieren. Finden Sie heraus, was DNSSEC für Sie bedeutet, welche Schritte Sie unternehmen können, um sich auf DNSSEC vorzubereiten, und wie Tools, Informationen und andere Ressourcen von Verisign Sie bei der effektiven Planung, dem Test und der Aktivierung von DNSSEC unterstützen können.

Warum Sie jetzt handeln sollten

Die Anzahl der DNSSEC-Implementierungen nimmt derzeit stetig zu. Die zunehmende Kenntnis über DNS-Bedrohungen und die Entwicklung anderer Initiativen im Bereich Internetsicherheit wie Secure Sockets Layer lassen vermuten, dass DNSSSEC in Zukunft für Internetgeschäfte unerlässlich sein wird. Diese Entwicklung wird durch interne Anforderungen wie Risikomanagement und das Bedürfnis der Benutzer nach mehr Sicherheit im Internet vorangetrieben.

ISPs verwalten die rekursiven Namenserver, die auf Namensauflösungsanfragen antworten, und spielen damit eine entscheidende Rolle dabei, Internetnutzern mehr Sicherheit zu bieten. Einige größere ISPs und Registrare haben DNSSEC bereits in ihre Roadmaps integriert. Die Implementierung von DNSSEC ist ein komplexer Vorgang. Verisign befürwortet daher eine vorsichtige, methodische Herangehensweise. ISPs müssen schnell handeln, um ausreichend Zeit für die Planung, den Einsatz, den Test und die Weiterentwicklung der DNSSEC-Implementierung zu haben.

Durch schnelles Anpassen an die neuen Entwicklungen können ISPs ihre Kunden besser schützen, ihre Führungsposition im Bereich des Kundenschutzes und der Internetsicherheit festigen und sich von Wettbewerbern abheben. Außerdem können sie möglicherweise die Entwicklung von Produkten und Services – und anderen Initiativen der Branche – beeinflussen, die ihre Branche unterstützen und fördern.

DNSSEC – Vorteile für proaktive ISPs
DNSSEC ist ein wesentlicher Bestandteil einer mehrschichtigen Internetsicherheit. Indem Sie dieses wichtige Element der Internetsicherheit hinzufügen, können Sie:

  • Das Risiko Ihrer Kunden mindern, Opfer von Internetkriminalität zu werden.
  • Ihre Marke und Ihren guten Ruf schützen und festigen.
  • Das Vertrauen und die Loyalität Ihrer Kunden stärken.
  • Mehr Internetsicherheit als Teil des Wertversprechens an Ihre Kunden bieten.
  • Kunden gewinnen und halten, denen Sicherheit wichtig ist.
  • Ihr Kerngeschäft schützen, indem Sie mehr Vertrauen ins Internet schaffen.
  • Ihre Führungsposition und Ihren Einfluss nutzen, um die Zukunft von DNSSEC mitzugestalten.

Erforderliche Schritte

ISPs spielen eine entscheidende Rolle für eine einwandfreie Funktionsweise des Internets und den Erfolg von DNSSEC. Die von den ISPs verwalteten rekursiven Namenserver (Resolver) bieten eine schnelle Auflösung von Millionen von Domainnamen pro Tag. Rekursive Namenserver sind auch der Hauptvektor für Cache Poisoning.

DNSSEC-fähige rekursive Namenserver verhindern Cache Poisoning auf folgende Weise: Wenn ein rekursiver Namenserver DNS-Informationen von dem autoritativen Server einer Zone anfordert und die Zone signiert ist, fordert der rekursive Namenserver auch den DNSSEC-Schlüssel der Zone an, um zu verifizieren, dass die erhaltenen Informationen mit den Informationen auf dem autoritativen Server identisch sind.

Um die Verbreitung von DNSSEC im Internet-Ökosystem zu unterstützen, müssen Sie DNSSEC auf Ihren rekursiven Namenservern aktivieren und die Kompatibilität Ihrer Netzwerkinfrastruktur (z. B. Firewalls, Router, Schalter und Lastverteiler) mit den größeren DNS-Antworten, die DNSSEC generiert, gewährleisten. Langfristig können Sie DNSSEC in Ihre Entwicklungs- und Testprozesse integrieren. ISPs, die DNS-Hosting-Dienste anbieten, müssen DNSSEC auch für diese Funktionen aktivieren.

Die meisten im Handel verfügbaren rekursiven Namenserver unterstützen DNSSEC bereits und benötigen lediglich ein Update oder eine Parameteränderung. Sie müssen jedoch möglicherweise ältere Namenserver und vorhandene Netzwerkgeräte aktualisieren oder ersetzen. Um zu bestimmen, ob DNSSEC Auswirkungen auf die Komponenten Ihrer Unternehmensstruktur hat und um welche Auswirkungen es sich dabei handelt, können Sie einen Test im Verisign DNSSEC Interoperability Lab veranlassen.

Wichtige Hinweise

Verisign hilft Ihnen dabei, die für Sie beste Strategie zur DNSSEC-Implementierung zu finden.

Die folgende Tabelle enthält Empfehlungen zur Lösung einiger der häufigsten Probleme bei der DNSSEC-Implementierung.

Problem: Ältere Versionen der Namenserver-Software unterstützen DNSSEC nicht.
Erklärung: DNS ist eine sehr stabile Plattform. Daher haben Administratoren die Namenserver-Software möglicherweise nicht besonders häufig aktualisiert. Es gibt Namenserver-Software (inklusive älterer Versionen von BIND), die DNSSEC nicht unterstützen. Empfehlung: Prüfen Sie Ihre Namenserver und aktualisieren Sie auf eine Version, die das DNSSEC-Protokoll sowie RSA-SHA256, NSEC und NSEC3 unterstützt.

Ziehen Sie die folgenden DNSSEC-kompatiblen Versionen in Betracht: BIND 9.6.2 und Unbound 1.4.0.
Problem: Die DNSSEC-fähigen Pakete sind größer (> 512 Byte) als die üblichen Pakete.
Erklärung: DNSSEC-Pakete sind größer als übliche Pakete und enthalten andere Informationen. DNSSEC-kompatible Namenserver-Software kann den Ressourcenverbrauch eines Servers erhöhen. Größere Pakete belasten den Prozessor, den Serverarbeitsspeicher und die Bandbreite für ISP-Betrieb. Empfehlung: Überprüfen Sie die Hardware, die Ihr Namenserver verwendet, um sicherzustellen, dass die Server der höheren Belastung standhalten.
Problem: Rekursive Namenserver erfordern das "Aktivieren" der Validierung.
Erklärung: Um Ihren Kunden DNSSEC-Funktionen anzubieten, müssen Sie die DNSSEC-Validierung auf rekursiven Namenservern aktivieren. Empfehlung: Beurteilen und entscheiden Sie, ob Sie die Validierung "aktivieren" möchten. Richten Sie dann einen DNSSEC-fähigen validierenden rekursiven Namenserver ein und warten Sie ihn.
Problem: DNSSEC erhöht den Arbeitsaufwand bezüglich der DNS-Verwaltung für Systemadministratoren.
Erklärung: Für DNS-Vorgänge verantwortliche Systemadministratoren müssen eine regelmäßige Vertrauensverwaltung durchführen und den für die DNSSEC-Authentifizierung verwendeten öffentlichen Schlüssel aktualisieren, wenn die Betreiber der Root-Zone neue öffentliche/private Schlüsselpaare für digitale Signaturen bereitstellen. Empfehlung: Gehen Sie sicher, dass die Systemadministratoren, die Ihre DNS-Vorgänge verwalten, sich mit dem Prinzip von DNSSEC und der Verwaltung von Vertrauensankern auskennen. Bieten Sie technische Schulungen an und machen Sie Ihre Mitarbeiter mit den verfügbaren Tools vertraut.
Problem: Die DNSSEC-Validierung schlägt bei Endbenutzern fehl.
Erklärung: Ein wichtiges Anliegen für ISPs und die Internet-Community ist die Endbenutzererfahrung beim Entdecken betrügerischer DNS-Daten oder Fehlschlagen der Namenauflösung, weil die für die Authentifizierung von DNS verwendeten digitalen Signaturen abgelaufen sind. Empfehlung: Schulen Sie Ihr Kundensupport-Team entsprechend, damit solche Ausfälle identifiziert und den Benutzern erklärt werden können. Arbeiten Sie mit Verisign, anderen ISPs und anderen Mitgliedern des Internet-Ökosystems zusammen, um eine standardisierte Lösung für dieses Problem zu finden.

Erste Schritte

Sie können Ihr Ziel eines DNSSEC-fähigen Systems, das das Vertrauen der Endbenutzer stärkt und Ihnen einen Vorteil vor Wettbewerbern verschafft, in mehreren wohlüberlegten Schritten erreichen. Basierend auf den Erfahrungen bei der Arbeit mit Registraren und ISPs und der Implementierung von DNSSEC in der Root-Zone, .edu, .net und .com schlagen wir Ihnen folgende erste Schritte vor.

Entdecken und Lernen

  • Überlegen Sie, wie DNSSEC in Ihre Internetsicherheitsstrategie passt.
  • Entdecken Sie die Vorteile und Herausforderungen bei der Implementierung von DNSSEC.
  • Informieren Sie sich über öffentliche Schlüsselkryptografie, Verschlüsselungsstandards und das Zusammenspiel digitaler Signaturen mit öffentlichen/privaten Schlüsseln.
  • Vergewissern Sie sich, dass Ihre IT- und Kundensupportmitarbeiter Schulungen erhalten, um mit auf DNSSEC bezogenen Problemen umgehen zu können.
  • Nutzen Sie Verisign-Ressourcen und planen Sie Strategien, um Ihre Kunden über DNSSEC zu informieren.

Planen

  • Setzen Sie einen Zeitrahmen für die Implementierung von DNSSEC fest.
  • Legen Sie fest, wie Sie DNSSEC in Ihre vorhandene DNS-Architektur integrieren möchten.
  • Entwerfen Sie Richtlinien und Prozesse für eine systematische Integration aktualisierter öffentlicher Schlüssel von Registraren oder anderen Vertrauensankern.

Bewerten und Aktualisieren

  • Machen Sie eine Bestandsaufnahme und prüfen Sie Ihre Infrastruktur. Finden Sie zum Beispiel heraus, welche Version von BIND oder Unbound DNS Sie ausführen und ob die Namenserver NSEC3 und SHA-256 unterstützen.
  • Bestimmen Sie, ob DNSSEC Auswirkungen auf die Netzwerkbandbreite hat und wie genau diese Auswirkungen aussehen (größere DNSSEC-Pakete erhöhen den Netzwerkverkehr).
  • Überlegen Sie, wie sich DNSSEC auf die Verwaltung Ihrer rekursiven Namenserver auswirkt.
  • Erkundigen Sie sich bei Ihren Hardware-Anbietern, ob diese DNSSEC in ihre Roadmap integrieren können und ob Upgrades für Ihre vorhandenen Netzwerkgeräte vorhanden sind.
  • Bewerten Sie Produkte und Services, die Ihre Implementierung unterstützen.
  • Aktualisieren Sie Ihre DNS-Hardware und Namenserver-Software bei Bedarf, sodass sie mit DNSSEC kompatibel ist.

Zusammenarbeiten

  • Testen Sie im Verisign DNSSEC Interoperability Lab die Kompatibilität Ihrer Netzwerkgeräte mit DNSSEC.
  • Arbeiten Sie mit Industriekonsortien, Normungsorganisationen und Anbietern von Software und Hardware zusammen, um Lösungen und Herangehensweisen zu entwickeln, die den Bedürfnissen Ihres Unternehmens entsprechen.
  • Kollaborieren Sie und entwickeln Sie Strategien für die Endbenutzererfahrung, wenn DNSSEC "schlechte" Daten entdeckt.

Benötigen Sie weitere Informationen?

Rufen Sie uns an unter +496933296571
Senden Sie eine E-Mail oder starten Sie einen Chat mit dem Kundensupport.

Rechtliche Hinweise//Datenschutz//Repository//Kontakt//Feedback//Sitemap


© 2011-2012 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder nicht registrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den Vereinigten Staaten und im Ausland. Alle anderen Marken sind Eigentum ihrer rechtmäßigen Eigentümer.