DNSSEC auf allen Rootservern
Der letzte der autoritativen Rootserver für das Domain Name System wurde am gestrigen Mittwoch auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) umgestellt. Probleme tauchten dabei bislang nicht auf.
Am gestrigen Mittwoch stellte der letzte der 13 autoritativen Rootserver für das Domain Name System auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) um. Alle 13 Server liefern nun eine signierte Variante der Rootzone. Validiert werden kann die Signatur vorerst allerdings noch nicht, da der öffentliche Teil des Schlüsselpaares verborgen ist. Mit dieser Vorsichtsmaßnahme soll eine Rückkehr zur unsignierten Rootzone vorerst noch möglich bleiben. DNSSEC soll in der Zukunft DNS-Manipulationen wie Cache Poisening verhindern.
Unmittelbar nachdem die von Prag aus sichtbare Instanz des J-Rootserver von VeriSign die DNSSEC-Signatur auslieferte, gab es noch keine Meldungen zu irgendwelchen Problemen. Experten beim 60. RIPE-Treffen in Prag hatten praktisch übereinstimmend gesagt, es sei nicht mit Schwierigkeiten zu rechnen, nachdem der sukzessive Start auf den übrigen 12 Rootservern im Laufe der letzten Monate problemlos über die Bühne gegangen war. Ein wenig Endzeitstimmung verbreitete lediglich ein Countdown, mit dem auf das bevorstehende Ende der unsignierten Rootzone hingewiesen wurde.
Sterben musste mit der gestrigen Umstellung allerdings die .root-Zone. Der Betreiber des Masterservers für die Rootzone Verisign hatte über Jahre einen einzelnen Eintrag unter .root genutzt, der zur Prüfung der Übertragung der sperrigen Root-Zone diente. Der Auslöser für die Schaffung des .root-Eintrages war ein Komplettausfall der .com-Zone nach einem Übertragungsfehler gewesen, sagte Jaap Akkerhuis, DNS-Experte von nl.netLabs. Die rigiden Prozeduren des DNSSEC-Betriebs machen diesen Kniff für den Rootserverbetrieb durch VeriSign und der Internet Corporation for Assigned Names and Numbers (ICANN) obsolet.
Dazu gehört auch eine für Juni geplante Schlüssel-Zeremonie (PDF Dokument), an der 21 künftige ehrenamtliche "Crypto-Officers" (PDF Dokument) und Notfall-Schlüsselwächter ("Recovery Key Share Holder") teilnehmen sollen. Ein Teil der insgesamt 14 Crypto-Officer muss jeweils anreisen, um die Generierung neuer Zone Signing Keys für den Betrieb durch VeriSign mit dem ICANN-Masterschlüssels freizuschalten. ICANN-Mitarbeiter Rick Lamb berichtete von 61 Bewerbungen für diese Posten, die zwar ehrenvoll, aber auch kostspielig sind: Die Reisekosten und den Arbeitsausfall müssen die Schlüsselhüter selbst tragen. Die angespannte Lage beim ICANN-Budget könnte ein Grund dafür sein, diese Kosten abzuwälzen.
Aus Afrika und Lateinamerika haben sich folglich nur vier beziehungsweise fünf Kandidaten gemeldet, aus Asien immerhin zehn. Europäische und US-amerikanische Unternehmen und Organisationen schicken dagegen jeweils 20 Kandidaten ins Rennen. Bei ICANN werde nun darüber nachgedacht, ob weniger US- und mehr Beteiligung aus anderen Ländern den Umstand kompensieren, dass alle Schlüssel ausschließlich an den beiden US-Standorten generiert werden sollen, erläutert Lamb. Nach Ansicht vieler RIPE-Experten sei dazu aber ein Standort außerhalb der USA unabdingbar.
"Blockiert die US-Verwaltung das?", wollte Daniel Karrenberg, Chefwissenschaftler beim RIPE in Prag wissen. "Blockieren ist ein starkes Wort", entgegnete Lamb darauf. Ein dritter Standort werde bereits diskutiert. Das seit Jahren die .se-Zone signierende und einen der 13 Rootserver betreibende Schweden sei einer der möglichen, logischen Orte. "Stellen wir uns nur einmal vor, was passiert, wenn der US-Luftraum wegen eines Zwischenfalls wie kürzlich in Island oder wegen Terroralarms gesperrt ist", sagte Jim Reid, Chef der DNS-Arbeitsgruppe beim RIPE. Ohne korrekt signiertes und genau nach Plan ausgeliefertes Schlüsselmaterial würde es im DNS finster. (je)