Rascher Start von DNSSEC bei .net und .com

Ab dem 9. Dezember sollen .net-Domains mit im Domain Name System (DNS) hinterlegten Schlüsseln auf der Basis des neuen DNSSEC-Protokolls authentifiziert werden. Die Signierung der .com-Zone soll im März folgen.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Monika Ermert

Das US-Unternehmen VeriSign hat Ende vergangener Woche den Zeitplan für die Signierung der .com- und .net-Zonen bekannt gegeben. Ab dem 9. Dezember sollen .net-Domains mit im Domain Name System (DNS) hinterlegten Schlüsseln auf der Basis des neuen Protokols DNSSEC (Domain Name System Security Extensions) authentifiziert werden. Antworten, dich nicht vom jeweils für die Domain autoritativen Server kommen, werden bei der Validierung der Signaturen entdeckt.

Seit dem 29. Oktober ist .net signiert, allerdings kann die Signatur vorerst noch nicht validiert werden. Die Signierung der .com-Zone soll im März folgen und kurz darauf sollen Nutzer dann auch konkret ihre eigenen .com-Domains mit einer DNSSEC-Signatur absichern können. Vor allem Cache-Poisoning-Attacken sollen damit künftig verhindert werden.

VeriSign nutzt für .net und .com die Erfahrungen, die das Unternehmen im Verlauf der Signierung der Rootzone gewonnen hat. Wie bei der Rootzone geht man Schritt für Schritt vor. Aktuell liefern zwei von dreizehn .net-Nameservern die signierte Zone. Falls es Startschwierigkeiten gibt erlaubt der anfängliche Verzicht auf die Validierung der Signatur, zur nicht-signierten Zone zurückzukehren. Auch für Betreiber großer rekursiver Resolver, also Internet Service Provider, ist das nach Angaben von Experten ein mögliches DNSSEC-Startszenario. Erst kürzlich meldete Comcast den Umstieg auf DNSSEC-validierende DNS-Resolver.

Den Anbietern von .net- und .com-Domains bleibe es überlassen, wann sie Signaturen für die Domains ihrer Kunden in der Registry hinterlegen wollen, heißt es in der Ankündigung von VeriSign. VeriSign bietet den Registraren seit 25. September an, Schlüsselmaterial an die Registry weiterzuleiten. Im Februar 2011 soll das dann auch für .com-Adressen gehen.

Laut einer Statistik der Internet Corporation for Assigned Names and Numbers (ICANN) haben von 294 Top Level Domains aktuell 60 DNSSEC-Signaturen, 44 haben ihre Schlüssel in der Rootzone hinterlegt. Diskutiert wird aktuell noch das Nebeneinander verschiedener Quellen, bei denen TLD-Schlüssel hinterlegt werden können. Nutzer, die wissen wollen, ob sie schon DNSSEC nutzen können, bietet VeriSign einen raschen Check unter test.dnssec-or-not.org. (anw)