Bund.de erprobt DNSSEC-Signierung

Die Adresszone des Bundes, bund.de, ist bereits seit einem Monat mittels DNSSEC signiert. Seit vergangener Woche ist der öffentliche Schlüssel dafür nun bei der Denic eG und auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) hinterlegt und im Whois eingetragen. Teilnehmer des von BSI, Denic und dem eco-Verband gestarteten DNSSEC-Tests für die .de-Zone können Antworten auf bund.de-Abfragen validieren und damit gefälschte Antworten sichtbar machen. "Die Bundesverwaltung beteiligt sich somit aktiv an der Testumgebung für die DNS-Sicherheitserweiterung DNSSEC und nimmt hier eine Vorreiterrolle ein", erklärte das BSI heute in einer Mitteilung.

Unterdessen berichtete Ondřej Filip von der tschechischen Registry CZ.NIC auf dem RIPE-Meeting in Prag, dass inzwischen bereits 15 Prozent aller .cz-Domains inzwischen DNSSEC signiert seien. Mit knapp 100.000 DNSSEC-abgesicherten Domains sei Tschechien weltweit führend. Er begrüßte, dass im Lauf der RIPE-Konferenzwoche auch der letzte der 13 zentralen Rootserver des DNSSEC die signierte Variante der Rootzone liefern wird. Wenn die gesamte DNS-Hierarchie durchsigniert ist, wird der Einsatz des Protokolls etwas einfacher, weil nicht mehr an verschiedenen Stellen nach Schlüsseln gesucht werden muss. Beim BSI setzt man darauf, dass die .de-Zone nach Ablauf des bis Ende 2010 laufenden Tests dann auch live signiert wird. (vbr)