DeNIC lässt Validierung der signierten de-Zone testen
Die Registry bietet experimentierfreudigen Kunden eine signierte Testzone an. So sollen sie überprüfen können, ob ihre Systeme Probleme bei der Validierung der neuen Signaturen haben.
Seit dem 5. Januar bietet die DeNIC eG neben der klassischen de-Zone auch eine signierte Testzone für experimentierfreudige Kunden. Mit der Einführung von Signaturen auf Basis von DNS Security Extensions (DNSSEC) auf einer eigenen Infrastruktur können Testbeteiligte überprüfen, ob ihre Systeme Probleme bei der Validierung der neuen Signaturen haben. So sollen Antworten auf Domainabfragen automatisch auf ihre Authentizität geprüft werden. Ab dem kommenden Montag wird der erste der 13 zentralen Rootserver im DNS zu einer signierten Zone mit den rund 260 Einträgen zu Länder- und generischen Internetadresszonen.
Die DeNIC eG, die eine viel größere Zone liefern muss, will noch bis Ende kommenden Jahres DNSSEC testen. Sie teilte mit, die jeweils aktuelle de-Zonenversion für die DNSSEC-Testumgebung werde einmal täglich signiert und über Nameservercluster in Frankfurt (81.91.161.228) und Amsterdam (87.233.175.25) zur Verfügung gestellt. Auf einer https-gesicherten Seite gibt es den für die Validierung notwendigen öffentlichen Teil des so genannten Key Signing Key (KSK). Dieser 2048 Bit lange Schlüssel, der bis auf weiteres im de-DNSSEC-Test gültig sein soll, dient der Denic eG zur Signierung des häufiger erneuerten 1024 Bit langen Zonenschlüssels (ZSK).
"Die ZSK werden bei uns alle fünf Wochen gewechselt. Der jeweils gültige ZSK ist mit dem KSK signiert. Die eigentlichen Daten werden mit dem ZSK signiert", erläuterte Peter Koch, Projektverantwortlicher bei der DeNIC, gegenüber heise online. Validierende Systeme brauchten ZSK und KSK, könnten aber den ZSK mit der Signatur des KSK überprüfen. Den ZSK könne sich der "Validator" jeweils passend aus dem DNS besorgen.
Damit nicht gleich von Anfang an für alle 13 Millionen de-Domains ein Eintrag über den Nicht-Einsatz von DNSSEC erzeugt werden muss, werden im DeNIC-Test – anders als bei der Rootzone – so genannte NSEC3-Einträge genutzt. NSEC3 erlaubt ein so genanntes Opt-Out dafür. Anders als das ältere NSEC-Protokoll nutzt es Hashwerte statt Klartext-Namen bei der Absicherung der Zone. Der Vorteil aus Sicht der DeNIC eG ist dabei auch, dass ein "Durchwandern" der Zonen zu deren Ausspähung verhindert wird.
DNSSEC gilt Experten zwar nicht als Allheilmittel für die Sicherheitsprobleme im DNS, gefälschte Antworten auf Domainabfragen soll es mit DNSSEC aber praktisch nicht mehr geben. Nach dem Aufdecken einfacher Methoden zur Fälschung von Antworten durch den US-Sicherheitsexperten Dan Kaminsky hatten technische Experten bei den Registries, angetrieben nicht zuletzt von der US-Verwaltung, die Einführung von DNSSEC forciert.
Bis Anfang Mai sollen nach und nach alle 13 Rootserver signierte Zoneninformationen liefern. Die DeNIC eG will über eine Einführung von DNSSEC für die .de-Zone endgültig erst nach dem jetzt angelaufenen Test entscheiden. Interessierte können nach wie vor in den Test einsteigen, am 26. Januar lädt die Denic eG zum zweiten DNSSEC-Informationstreffen. (anw)
