[netcup] Felix
New Member
Karlsruhe – Der Internet Service Provider netcup (www.netcup.de) bietet ab sofort die Möglichkeit, die DNS-Zone der bei netcup erworbenen Domains mit DNSSEC zu signieren. Als einer der ersten Anbieter stellt der Webhoster damit eine Sicherheitstechnik bereit, die die Authentizität von DNS-Zonen gewährleistet. DNSSEC-signierte Domains stellt netcup künftig für die länderspezifischen Top-Level-Domains .de, .at, .eu, .tv und .cc, für die generischen Top-Level-Domains .com und .net, sowie die geografischen Top-Level-Domains .hamburg, .koeln, .cologne und .ruhr bereit.
„Wir nehmen das Thema Sicherheit im Internet sehr ernst. Deshalb haben wir uns entschlossen, zusätzlich zu den bereits etablierten, kostenlosen Let‘s Encrypt SSL-Zertifikaten auch DNSSEC automatisiert zu implementieren. Unsere Kunden können nun ganz bequem mit wenigen Mausklicks die DNS-Zone ihrer Domains mit DNSSEC signieren und somit die Authentizität der DNS-Zone gewährleisten. Folglich kann jeder Internetnutzer nun verifizieren, dass der Inhalt einer DNS-Zone nicht manipuliert wurde; sprich, identisch ist mit dem, den der Ersteller eingetragen hat“, so Oliver Werner, Geschäftsführer der netcup GmbH.
Bei DNSSEC handelt es sich um einen kryptographischen Sicherheitsmechanismus, der die Authentizität und Integrität von DNS-Zonendaten gewährleistet. Hierfür werden zwei Schlüsselpaare verwendet, mit denen Signaturen erzeugt und die als Records in der DNS-Zone gespeichert werden. Die Schlüsselpaare nennen sich Key-Signing-Key und Zone-Signing-Key, letztere wird aus dem Schlüsselpaar Key-Signing-Key generiert. Jedes Schlüsselpaar besteht dabei aus einem Private- und Public-Key. „Der Public-Key des Schlüsselpaares Key-Signing-Key wird bei der Domain-Registrierungsstelle für die entsprechende Domain fest hinterlegt, die Private-Keys werden in der Datenbank von netcup sicher hinterlegt. Da die Signaturen mit den Schlüsselpaaren erzeugt wurden, kann nach einer DNS-Abfrage die Signaturen der Records auf Übereinstimmung geprüft werden. Sind diese identisch, ist sichergestellt, dass die angeforderten Zonendaten vom Zonenverwalter autorisiert und signiert wurden“, erklärt Oliver Werner.
netcup übernimmt das komplette Key-Management des DNSSECs, wie zum Beispiel die Generierung und Verwaltung der DNSSEC-Schlüssel, aber auch die Signierung der DNS-Zone sowie die automatische Signierung nach jeder Änderung der DNS-Zone. Kunden, die selbst das Management des DNSSECSs betreiben möchten, haben die Möglichkeit, hierfür eigene Nameserver zu betreiben.
Darüber hinaus bietet netcup ab sofort ebenfalls die Möglichkeit, das Netzwerkprotokoll DANE (DNS-based Authentification of Named Entities) in Verbindung mit DNSSEC zu nutzen. Die für DANE notwendigen TLSA Records können vom Kunden selbst in den DNS-Zonen hinterlegt werden. Der Internet Service Provider plant, künftig alle Mailserver automatisiert mit DANE auszustatten. Damit möchte netcup seinen Kunden nicht nur eine verschlüsselte Kommunikation garantieren, sondern insgesamt eine erhöhte Sicherheit für Webseitenbetreiber und Nutzer bieten.
Weitere Informationen unter: www.netcup.de
Impressum
„Wir nehmen das Thema Sicherheit im Internet sehr ernst. Deshalb haben wir uns entschlossen, zusätzlich zu den bereits etablierten, kostenlosen Let‘s Encrypt SSL-Zertifikaten auch DNSSEC automatisiert zu implementieren. Unsere Kunden können nun ganz bequem mit wenigen Mausklicks die DNS-Zone ihrer Domains mit DNSSEC signieren und somit die Authentizität der DNS-Zone gewährleisten. Folglich kann jeder Internetnutzer nun verifizieren, dass der Inhalt einer DNS-Zone nicht manipuliert wurde; sprich, identisch ist mit dem, den der Ersteller eingetragen hat“, so Oliver Werner, Geschäftsführer der netcup GmbH.
Bei DNSSEC handelt es sich um einen kryptographischen Sicherheitsmechanismus, der die Authentizität und Integrität von DNS-Zonendaten gewährleistet. Hierfür werden zwei Schlüsselpaare verwendet, mit denen Signaturen erzeugt und die als Records in der DNS-Zone gespeichert werden. Die Schlüsselpaare nennen sich Key-Signing-Key und Zone-Signing-Key, letztere wird aus dem Schlüsselpaar Key-Signing-Key generiert. Jedes Schlüsselpaar besteht dabei aus einem Private- und Public-Key. „Der Public-Key des Schlüsselpaares Key-Signing-Key wird bei der Domain-Registrierungsstelle für die entsprechende Domain fest hinterlegt, die Private-Keys werden in der Datenbank von netcup sicher hinterlegt. Da die Signaturen mit den Schlüsselpaaren erzeugt wurden, kann nach einer DNS-Abfrage die Signaturen der Records auf Übereinstimmung geprüft werden. Sind diese identisch, ist sichergestellt, dass die angeforderten Zonendaten vom Zonenverwalter autorisiert und signiert wurden“, erklärt Oliver Werner.
netcup übernimmt das komplette Key-Management des DNSSECs, wie zum Beispiel die Generierung und Verwaltung der DNSSEC-Schlüssel, aber auch die Signierung der DNS-Zone sowie die automatische Signierung nach jeder Änderung der DNS-Zone. Kunden, die selbst das Management des DNSSECSs betreiben möchten, haben die Möglichkeit, hierfür eigene Nameserver zu betreiben.
Darüber hinaus bietet netcup ab sofort ebenfalls die Möglichkeit, das Netzwerkprotokoll DANE (DNS-based Authentification of Named Entities) in Verbindung mit DNSSEC zu nutzen. Die für DANE notwendigen TLSA Records können vom Kunden selbst in den DNS-Zonen hinterlegt werden. Der Internet Service Provider plant, künftig alle Mailserver automatisiert mit DANE auszustatten. Damit möchte netcup seinen Kunden nicht nur eine verschlüsselte Kommunikation garantieren, sondern insgesamt eine erhöhte Sicherheit für Webseitenbetreiber und Nutzer bieten.
Weitere Informationen unter: www.netcup.de
Impressum