DENIC startet unbemerkt mit der Verteilung der signierten de-Zone

Die Hüter der Top Level Domain .de haben damit begonnen, ihre Name Server mit einer DNSSEC-signierten Zone zu versorgen.

In Pocket speichern vorlesen Druckansicht 57 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Monika Ermert

Die DeNIC hat damit begonnen, die 16 für die Top Level Domain .de authoritativen Name-Server mit einer DNSSEC-signierten Zone zu versorgen, ganz nach dem Modell der bereits signierten Rootzone des Domain Name System (DNS). Dabei werden die jeweils aktuellen Zonendaten mit einer Signatur versehen, die dann in DNS-Antworten des authoritativen Servers mitversendet wird (kryptografischer Schlüssel). Die Empfänger können die kryptografischen Schlüssel nutzen, um die DNS-Antworten selbst auf ihre Authentizität und den Sender auf Vertrauenswürdigkeit zu überprüfen. DNSSEC – das DNS Security Extension Protokoll – soll so eine Reihe von Man-in-the-Middle-Angriffen, wie etwa das Cache-Poisoning, unmöglich machen. Um DNS-Auskünfte über die eigene Domain vollends zu schützen, müssen de-Nutzer schließlich noch ihre eigene Domain signieren.

Allerdings verhindert die DeNIC bis zum eigentlichen DNSSEC-Start Ende des Monats die Validierung der Antworten, indem sie einen unlesbaren Schlüssel ablegt. So kann ausschließlich das Ausliefern der Signaturen geprüft werden. Statt des tatsächlich zur Signierung verwendeten Schlüssels enthält die DNS-Antwort aber unter anderem den Hinweis "THIS/IS/AN/INVALID/KEY/THAT/WILL/NOT/VALIDATE.//" Der Pseudoschlüssel verhindert, dass die Anfragenden die kryptografischen Berechnungen vornehmen können.

Wie schon beim Start von DNSSEC in der Rootzone dient die Maßnahme laut Informationen der DeNIC dazu, "sämtliche Einflüsse der DNSSEC-Information in den DNS-Antworten auf die gesamte DNS-Infrastruktur zu beobachten und zu analysieren". Bei größeren Schwierigkeiten könnte so auch der Rückzug zum unsignierten Betrieb der de-Zone angetreten werden. (hos)