DNSSEC in der DNS-Rootzone gestartet

Am gestrigen Donnerstag ist die voll digital signierte Rootzone gestartet. Alle Antworten der 13 für das Domain Name System (DNS) autoritativen Rootserver liefern nun einen DNSSEC-Schlüssel (DNS Security Extensions) mit, der eine Authentifizierung der Zone und damit die Identifizierung manipulierter Antworten erlaubt, etwa beim Cache Poisening . "Wir validieren", meldete Wolfgang Nagele Service Manager für den K-Root-Server beim RIPE NCC in Amsterdam, gestern Abend kurz nach 23 Uhr. Vom K-Root aus gesehen lief die Umstellung auf die wegen der angehängten DNSSEC-Schlüssel größeren Antwortpakete zunächst reibungslos.

DNS-Resolver in aller Welt, die entgegen herrschender Standards nur kleinere Antwortpakte (kleiner als 512 Bytes) verarbeiten können, funktionierten zwar weiterhin, allerdings könnten manche Domains nicht mehr aufgelöst werden, warnte der DNS-Experte des RIPE NCC, Anand Buddhdev, Anfang der Woche noch einmal. Nagele wies am gestrigen Donnerstag aber noch einmal darauf hin, dass eventuelle Probleme mit den Paketgrößen spätestens seit der Umstellung des letzten Root-Servers auf DNSSEC am 5. Mai offenbar geworden wären.

Die Internet Corporation for Assigned Names and Numbers, Root-Betreiber VeriSign und das US-Handelsministerium hatten auf eine Einführung von DNSSEC in Phasen bei den 13 Root-Servern gesetzt, dabei allerdings zunächst keine Validierung zugelassen. Diese ist seit der Nacht vom gestrigen Donnerstag auf den heutigen Freitag möglich. Nach rund einem Jahrzehnt Entwickungsarbeit ist damit DNSSEC in der Root angekommen. Lob für die ICANN, VeriSign und die federführende Behörde beim US-Handelsministerium, die National Telecommunications and Information Administration (NTIA) gab es kurz vor dem Start schon mal von Handelsminister Gary Locke (PDF-Datei). Allerdings dürften wohl noch einmal Jahre vergehen, bis DNSSEC auch in den Top Level Domains (TLDs) und auf der Ebene der Endnutzer angekommen ist und die Signaturen im großen Stil validiert werden.

Nagele wies darauf hin, dass zwar bereits jetzt rund 50 Prozent der DNS-Anfragen, die beim K-Root-Server ankommen, DNSSEC mit abfragen. Das liege allerdings vor allem daran, dass viele moderne DNS-Resolver DNSSEC standardmäßig eingeschaltet hätten. Wie viele der dahinter arbeitenden Anbieter DNSSEC wirklich beherrschten und nutzten, sei nicht klar. Wegen der großen Zahl von DNSSEC-Anfragen erwartet Nagele mit der Umstellung auch keinen großen Ausschlag durch neu hinzukommende validierende Resolver.

Wer bereits validiert, muss zudem auf absehbare Zeit die Schlüssel einzelner TLDs, wie etwa des DNSSEC-Pioniers .se, noch eigens abfragen. Vorerst sind lediglich 7 TLD-Schlüssel in der signierten Root hinterlegt, und das sind .bg, .br, .cat, .cz, .na, .tm., und .uk. Vorerst werde sich daher etwa mancher schwedische Provider noch damit begnügen, den .se-Schlüssel in seine Abfragen einzubauen, schätzt Peter Koch, einer der Leiter der DNS-Arbeitsgruppe bei der Internet Engineering Task Force (IETF). Wer .de-Adressen validieren will, kann dies vorerst nur im laufenden Test tun.

Der durch die Signierung der Rootzone erreichte Sicherheitsvorteil sei erst einmal begrenzt auf die TLDs, die DNSSEC bereits produktiv eingeführt hätten, sagte Thorsten Dietrich, DNSSEC-Experte beim Bundesamt für Sicherheit in der Informationstechnik. Auf jeden Fall setze der Start der digitalen Signaturen in der Root "ein Zeichen und ermöglicht erstmalig die einfache Verbreitung von DNSSEC-Schlüsselmaterial". Experten rechnen sogar damit, dass die DNS-Zertifikate andere Zertifizierungssysteme ablösen könnten.

Die ICANN rechnet fest damit, dass die Zahl der Nutzer, die DNSSEC als Sicherheitsfeature einsetzen, mit der Zahl der signierten Zonen wächst. Sicherlich gebe es viele Spielarten, wie DNS-Betreiber DNSSEC einsetzen könnten, teilte Joe Abley, Director DNS Service bei der ICANN, mit. Abley räumte ein, dass trotz erheblicher Anstrengungen, DNSSEC bekannt zu machen, kaum abzuschätzen sei, wie viele DNS Betreiber noch nichts davon gehört hätten. (anw)