DNSSEC für .org-Domains
Ab sofort lassen sich beliebige Domainnamen unter .org, einer der großen generischen Top Level Domains, mittels DNSSEC signieren und damit vor Fälschungen schützen. Die zuständige Public Internet Registry plant, die Erweiterung im Juli freizuschalten.
- Monika Ermert
Die Public Internet Registry (PIR) hat heute auf dem 38. Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in Brüssel verkündet, ab sofort von jedem signierte Domainnamen entgegenzunehmen. Mit der für den 15. Juli geplanten Veröffentlichung eines aktiven Schlüssels für die zentrale Rootzone steht damit den acht Millionen .org-Domaininhabern eine lückenlose Absicherung ihrer Adressen gegen Cache-Poisoning und Man-in-the-Middle-Angriffe zur Verfügung. DNSSEC (DNS Security Extensions) sei ein großer Schritt zu einem sichereren DNS, allerdings kein magisches Allheilmittel, sagte ICANN-Präsident Rod Beckstrom. DDoS-Angriffe oder auch Phishing bleiben eine Bedrohung.
Seit zwei Jahren, seit der Demonstration des sogenannten Kaminsky-Bugs, läuft unter Hochdruck die Umsetzung der kryptografischen Absicherung des Domain Name System mittels DNSSEC. Dan Kaminsky lobte heute DNSSEC als "richtige Lösung", die das zunächst rasch verwendete "Pflaster" ersetzen müsse. Das Protokoll, das den öffentlichen Schlüssel einer Zone mit dem privaten abgleicht, sei im Prinzip einfach und sein Einsatz müsse nicht teuer sein.
PIR-Geschäftsführerin Alexa Raad merkte an, dass Zonenbetreiber mit Blick auf die Infrastruktur ohnehin ständig nachzurüsten hätten. Einen wesentlich größeren Kostenpunkt sieht sie bei der Aufklärung der Kunden, denn nur die erlaube den Registraren, DNSSEC an den Mann zu bringen. Einen DNSSEC-Start "in mehreren Phasen" kündigte in Brüssel GoDaddy an, der weltweit größte Domain-Registrar. CEO Warren Adelman erläuterte gegenüber heise online, dass GoDaddy zunächst allerdings nur von Kunden selbst signierte Namen an PIR weitergebe. Ein Angebot, in dessen Rahmen GoDaddy das Signieren für die Kunden erledigt, werde es erst im September geben.
Als erste .org-Domain wurde heute laut Raad die Adresse der Internet Society signiert (isoc.org). Ausgerechnet dabei kam es zu einem Vertipper, der die Validierung für kurze Zeit unmöglich machte. Das Problem sei sofort behoben worden und die Domain ununterbrochen erreichbar gewesen, versicherte ISOC-Chefin Lynn St. Amour. Für bereits validierende Server freilich ergab sich eine Fehlermeldung. Roland van Rijswijk von SURFnet, das die DNSSEC-Validierungen gezielt beobachtet und auch den ISOC-Fehler umgehend bemerkt hatte, verwies auf zahlreiche weitere kleine Zwischenfälle, etwa bei DNSSEC-signierten .gov-Adressen. Ein Grund für Ausfälle sei das Auslaufen von Schlüsseln, erklärte Ram Mohan vom PIR-Backend-Provider Afilias. Für .org – ebenso wie für die signierte Variante der .de-Zone – kämen daher Schlüssel mit überlappenden Gültigkeitszeiträumen zum Einsatz. Das sei aber nicht überall der Fall.
Trotz viel Enthusiasmus und Aufbruchstimmung in Brüssel ziehen es allerdings viele Marktteilnehmer vor, abzuwarten. Und das muss nicht nur am Aufwand für die Einführung liegen: DNSSEC erlaubt keine Umleitungen, die manche Provider zu Werbezwecken nutzen oder Behörden als mögliche Sperrmaßnahmen ins Auge fassen. (un)
