Zur Webansicht Zur Webansicht
0/1 Rechenzentrum der Universität Regensburg
Home Uni  Pfeil  Rechenzentrum  Pfeil  
Deko-Banner
Zur Lese-/Druckansicht  

Wo Sie sich befinden:
Home RZ
Netzwerkinfrastruktur
DNS
DNSSEC

Frequently Used Links:
Hauptnavigation:

DNSSEC & DANE

Hier finden Sie Informationen zu DNSSEC (Domain Name System Security Extensions) an der Universität Regensburg.

Validierung

Seit November 2016 ist auf den Nameservern der Universität die sog. DNSSEC-Validierung aktiviert.

DNSSEC nutzt zur Überprüfung von DNS-Antworten die hierarchische Struktur des Domain Name System. Dabei markieren die Inhaber übergeordneter Domains – genauer Zonen – die jeweils untergeordneten als vertrauenswürdig und bilden so eine Vertrauenskette (Chain of Trust).

Konsequenzen:

  1. Wenn unsere Nameserver - und damit Ihre Geräte - eine DNS-Antwort erhalten, prüfen unsere Nameserver, ob die Antwort unverfälscht ist und ob der antwortende DNS-Server zur Vertrauenskette gehört (bei externen DNSSEC signierten Zonen).
  2. Externe Domains, die DNSSEC-Signierung benutzen UND diese dabei gleichzeitig eine Fehlkonfiguration vorliegen haben, werden nicht mehr auflösbar und damit nicht mehr erreichbar sein.

Signierung

Signierung der eigenen Zonen auf unseren Nameservern meint, dass wiederum andere Nameserver eine Validierung vornehmen können.

Wir nehmen am DNSSEC/DANE Projekt des Leibniz Rechenzentrums der Bayerischen Akademie der Wissenschaften und des Bayerischen Wissenschaftsministeriums teil.
Weitere Informationen zum Projekt auf der LRZ-Website
Den bayernweiten Stand des Projekts können Sie ebenfalls beim LRZ einsehen.

Die Zone uni-regensburg.de steht seit 06.03.2018 DNSSEC-signiert zur Verfügung.

Testzonen:
Die Zone uni-r.eu steht seit 12.12.2017 DNSSEC-signiert zur Verfügung.
Die Zone uni-regensburg.eu steht seit 29.01.2018 DNSSEC-signiert zur Verfügung.

DANE

DANE (DNS-based Authentication of Named Entities) ermöglicht die Evaluierung der Vertrauenswürdigkeit von SSL-Zeritifkaten über DNS(SEC) und kann z.B. im Zusammenhang mit E-Mail-Transport eingestezt werden.
Wir können dank der Umstellung auf DNSSEC seit 03/2018 unseren eingehenden E-Mail-Versand mittels DANE zusätzlich absichern.
Mehr zu DANE finden Sie unter https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities.

Letzte Änderung: 16. 8.2018 von Dr. Christoph Bauer, Anja Ruckdäschel