Weiterführende Ressourcen im Internet

Auf unserem Projekt-Wiki können wir nur eine Einführung in die Thematik geben. Eingehendere Informationen finden sich im Internet. Auf dieser Seite haben wir eine Auswahl von Links zu den von uns als besonders für den Neueinstieg in DNSSEC nützlich befundenen Resourcen, aber auch tiefergehende Dokumente staatlicher Behörden, die die flächendeckende Einführung von DNSSEC und DANE unterstützen wollen.

Vorträge auf Youtube

Unter anderem finden sich auch sehr interessante Vorträge und Howto-Anleitungen auf Youtube. Diese umfassen sowohl kurze ca. 15-minütige "Was ist DNSSEC eigentlich?" / "Wozu brauchen wir (unbedingt) DANE?" Einführungen, als auch etwa einstündige Aufzeichungen von Konferenzvorträgen.

Hier eine Liste von Links zu Videos, die wir für hilfreich halten.

Youtube-Vorträge über DNSSEC

Titel

Länge

Youtube-Link

DNSSEC Einführung

5:00 Minuten

DNSSEC Explained

20 Minuten

DNSSEC Tutorial

1:27 Stunden

DNSSEC Best Practices

1 Stunde

Youtube-Vorträge über DANE

Titel	Länge	Youtube-Link
DNSSEC & DANE – E-Mail security reloaded	30 Minuten
Tutorial on DANE and DNSSEC	30 Minuten
DANEn lügen nicht - SSL/TLS Zertifikate mit DNSSEC absichern	1 Stunde
DNS Based Authentication of Named Entities DANE Can we fix our broken CA model	50 Minuten
DNS Based Authentication of Named Entities DANE Can we fix our broken CA model -Tony Cargile	39 Minuten

RFCs

Für Detailinformationen, insbesondere mögliche Parameterwerte, sind die RFCs ("Request for Comments") maßgebend. Der "RFC Editor" liefert ASCII-Text und PDF-Versionen aller RFCs. Über die Suchfunktion lassen sich aber die DNSSEC und DANE spezifischen Dokumente leicht finden.

Diese sind als technische Spezifikationen eher trocken zu lesen, und nur in seltenen Fällen "Howtos", sind aber die letztendliche Referenz für das, das gilt. Dabei sollte man aber auf das Veröffentlichungsdatum achten, da sowohl DNSSEC und DANE über mehrere Jahre entwickelt wurden, und damit neuere Dokumente die älteren ablösen, d.h. sie erweitern oder gar ablösen.

Eine Liste der essentiellen RFCs für die Spezifikationen von DNSSEC:

Nummer	Titel	Autoren	Datum	Status
RFC 4033	DNS Security Introduction and Requirements	R. Arends, R. Austein, M. Larson, D. Massey, S. Rose	March 2005	Proposed Standard
RFC 4034	Resource Records for the DNS Security Extensions	R. Arends, R. Austein, M. Larson, D. Massey, S. Rose	March 2005	Proposed Standard
RFC 4035	Protocol Modifications for the DNS Security Extensions	R. Arends, R. Austein, M. Larson, D. Massey, S. Rose	March 2005	Proposed Standard
RFC 5155	DNS Security (DNSSEC) Hashed Authenticated Denial of Existence	B. Laurie, G. Sisson, R. Arends, D. Blacka	March 2008	Proposed Standard
RFC 6840	Clarifications and Implementation Notes for DNS Security (DNSSEC)	S. Weiler, Ed., D. Blacka, Ed.	February 2013	Proposed Standard
RFC 7583	DNSSEC Key Rollover Timing Considerations	S. Morris, J. Ihren, J. Dickinson, W. Mekking	October 2015	Informational
RFC 7129	Authenticated Denial of Existence in the DNS	R. Gieben, W. Mekking	February 2014	Informational
RFC 6781	DNSSEC Operational Practices, Version 2	O. Kolkman, W. Mekking, R. Gieben	December 2012	Informational

Hier eine Liste der wichtigsten RFCs zu DANE:

Nummer	Titel	Autoren	Datum	Status
RFC 6698	The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA (updated by RFC 7218 und 7671)	P. Hoffman, J. Schlyter	August 2012	Proposed Standard
RFC 7671	The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance	V. Dukhovni, W. Hardaker	October 2015	Proposed Standard
RFC 7218	Adding Acronyms to Simplify Conversations about DNS-Based Authentication of Named Entities (DANE)	O. Gudmundsson	April 2014	Proposed Standard
RFC 7250	Using Raw Public Keys in Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)	P. Wouters, Ed., H. Tschofenig, Ed., J. Gilmore, S. Weiler, T. Kivinen	June 2014	Proposed Standard
RFC 7672	SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)	V. Dukhovni, W. Hardaker	October 2015	Proposed Standard
RFC 6394	Use Cases and Requirements for DNS-Based Authentication of Named Entities (DANE)	R. Barnes	October 2011	Informational

Internet Konsortien und Behördenratschläge

Die Internet Society bietet einführende Informationen zu DNSSEC, eine kurze Einführung zu DANE, und "case studies" von Institutionen, die über Ihre Erfahrungen bei deren Einführung berichten.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein Dokument mit Empfehlungen und Anleitungen zur Einrichtung von DNSSEC, sowie technische Anforderungen (technical requirements - TR) für den sicheren Emailtransport, u.a. mit DANE veröffentlicht.

Das US-amerikanische NIST (National Institute of Standards and Technology) unterstützt die Einführung von DNSSEC, und hat auch eine Anleitung zu "best practices" veröffentlicht. Auch zu DANE hat das NIST einen Entwurf einer ausführlichen Einführung und Anleitung veröffentlicht. Der Schnelleinstieg findet sich im "two-page fact sheet".

DNSSEC Deployment hat sich der Verbreitung von DNSSEC und DANE gewidmet und veranstaltet regelmäßig Konferenzen um Netzwerkverantwortliche weltweit bei deren Einführung zu unterstützen. Die Vortragsfolien sind jeweils auch online verfügbar.