DeNIC will die de-Domain bald signieren

Zum 31. Mai dieses Jahres wird die de-Domain signiert und so gegen Manipulationen von DNS-Antworten abgesichert. Das kündigte DeNIC-Vorstandsmitglied Sabine Dolderer heute zum Abschluss des DNSSEC-Tests in Frankfurt an. DNSSEC – Domain Name System Security Extensions – sichert mittels kryptografischer Schlüssel DNS-Antworten so ab, dass der Empfänger sowohl deren Unversehrtheit als auch die Vertrauenswürdigkeit des Senders überprüfen kann. Beides ist im herkömmlichen DNS nicht möglich. Die Prüfungen kann beispielsweise ein validierender Resolver für ein LAN vornehmen und die geprüften Antworten zum Beispiel verschlüsselt an Clients im LAN weitergeben. Damit sind die Empfänger von DNS-Nachrichten gegen Angriffstypen wie Cache-Poisoning abgesichert. Gegen Phishing, bei dem Nutzer den Angreifern vertrauenswürdige Daten aus Gutgläubigkeit übermitteln, hilft DNSSEC natürlich nicht.

Die Ankündigung sei nach dem positiven Testverlauf keine große Überraschung mehr, sagte Dolderer, die DNSSEC noch vor ein paar Jahren eher skeptisch gegenüber stand. Dass DNSSEC eine zweite Hierarchie der Internet-Verwaltung etabliert, an deren Spitze das Trio aus US-Handelsministerium, ICANN und VeriSign als Schlüsselwächter stehen, hatte lange für Diskussionen gesorgt, bis ein Kompromiss über die Schlüsselverwaltung die Wogen glättete. Entspannung vermelden auch die Serverbetreiber, die DNSSEC zunächst als Rechenzeitfresser ablehnten: Auf aktuellen Servern lasse sich die nicht gerade kleine de-Zone innerhalb weniger Minuten komplett signieren, berichtete Peter Koch, einer der beiden DNSSEC-Projektleiter bei der DeNIC.

Als die DeNIc, der eco Verband und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zwei Jahren den DNSSEC-Test ins Leben riefen, habe es lediglich fünf andere signierte Domains gegeben, sagte Lothar Eßer vom BSI. Inzwischen sind es 67 Top-Level-Domains und nach der de-Zone fehle nur noch eine einzige der 10 weiltweit größten Zonen: die chinesische Domain .cn; die Root-Zone ist seit dem vergangenen Jahr signiert. Einen beträchltichen Anteil am Entschluss zur Signierung hatte auch das BSI, das die Signierung der Domain bund.de fest eingeplant hatte und die Signierung weiterer Zonen der Bundesverwaltung vorantreiben will.

Den Grundstock innerhalb de-Domain machen nun die 800.000 Domains aus, die die Denic selbst verwaltet und die 110 Sub-Domains der Unternehmen, die am Test beteiligt waren. Bis aber alle de-Subdomains signiert sind – derzeit 14 Millionen –, sei es noch ein weiter Weg, sagte Dolderer. Thomas Rickert vom eco Verband berichtete aus einer aktuellen Umfrage unter deutschen Domainanbietern, dass 10 Prozent der Befragten DNSSEC bereits beherrschen. 27 Prozent planen, DNSSEC bald zu nutzen.

Angebote an Domain-Endkunden, ihre Domains zu signieren, fehlen aber ebenso noch wie validierende Resolver bei den Providern. Es gebe auch noch einzelne Tücken bei der DNSSEC-Nutzung, sagte Koch. Nicht zuletzt wechsle man von einem sehr toleranten DNS-System zu einem abgesicherten, das Fehler weniger verzeiht. (dz)