DNSsec könnte de-Zone lahmlegen
Angesichts einiger Berichte aus Schweden und der Schweiz rechnen Experten damit, dass auch die DNS-Zone für die Toplevel-Domain .de bei Einführung der Sicherungserweiterung DNSsec für einige Zeit ausfallen könnte.
Das DNSsec-Protokoll an sich läuft stabil, im Betrieb allerdings rechnen Beobachter mit kurzzeitigen Ausfällen. Marcus Schäfer, ehrenamtliches Denic-Vorstandsmitglied und Geschäftsführer der Hostserver GmbH, sagte am Rande des zweiten Arbeitstreffens des DNSsec-Tests der Denic in Frankfurt am vergangenen Dienstag, dass er sehr wohl damit rechne, dass die de-Zone schon mal für fünf Minuten komplett verschwunden sein könnte. Schäfer begrüßte dennoch den gerade laufenden Test der Denic, dessen Status und nächste Schritte die Denic-Experten gestern ausführlich vorstellten.
Wie leicht es zu Ausfällen bei einzelnen Registraren oder bei der Registry selbst kommen kann, zeigen Berichte aus der Schweiz und Schweden. Die .se-Zone war wegen eines DNSsec-Fehlers bereits einmal eine Stunde komplett unerreichbar und in der Schweiz wurde die Swisscom bereits Opfer von Teilausfällen durch DNSsec.
In Deutschland können experimentierfreudige DNS-Betreiber seit dem Anfang Januar 2010 mit einer signierten Version der de-Zone arbeiten. Diese bietet die Denic über eine dedizierte Infrastruktur mit Servern in Frankfurt, Amsterdam und bald auch in Hongkong an. Den zusätzlichen Server in Hongkong habe man gewählt, um DNSsec auch über längere Übertragungswege testen zu können, berichtete Denic-Mitarbeiter Peter Koch.
Laut Koch gibt es inzwischen auch eine IPv6-Variante der DNSsec-signierten Zone und ab 2. März 2010 können Denic-Mitglieder selbst Schlüsselmaterial für signierte Domains bei der Denic einspeisen. Denic-Chefin Sabine Dolderer hofft, dass möglichst viele DNS-Betreiber und Registrare die Testinfrastruktur nutzten.
Bislang halte sich der Verkehr auf der Testinfrastruktur mit insgesamt 10 Abfragen pro Sekunde noch sehr in Grenzen, berichtete er weiter. Viele große Registrare scheuen ganz offenbar den Aufwand, den das komplexe Protokoll mit all seinen Krypto-Feinheiten, kontinuierlichen Erneuerungen von Schlüsseln und erwartbaren Anfragen von unbedarften Nutzern in der Implementierung mit sich bringen wird. In Schweden, das die .se-Zone seit 2005 signiert, gibt es nach fast fünf Jahren gerade mal 12 Registrare, die ihren Kunden anbieten, Domains zu signieren.
Ähnlich vorsichtig tasten sich Nutzer der Schweizer Länder-Registry SWITCH an DNSsec heran, die seit 21. September 2009 eine signierte Zone betreibt. Samuel Benz von der SWITCH berichtete, dass entgegen den Erwartungen besonders die Validierung ausgetestet werde. Dagegen würden nur selten eigene Zonen signiert. Benz Einschätzung: "Anscheinend ist das Signieren doch recht politisch, um das einfach mal zu testen." Innerhalb der Unternehmen, etwa im Bankensektor, würden so Fragen virulent, wo die Schlüssel aufbewahrt werden und wer die "Macht über die Schlüssel" habe.
Ob sich die Denic nach Abschluss des Tests tatsächlich für eine rasche Einführung von DNSsec entscheidet, ließ Dolderer offen. Gegenüber heise online räumte sie ein, dass der internationale Trend ein "Nein" im Laufe des Jahres zumindest erschweren könne. Dennoch wolle man die Testergebnisse abwarten und für die Mitglieder die Kosten einer Einführung kalkulieren. (rek)
