ICANN soll rasch Rootzone mit DNSSEC signieren
Die IP-Adress-Registry RIPE fordert die Internet Corporation for Assigned Names and Numbers auf, für eine rasche Einführung des Sicherheitsprotokolls im Domain Name System des Internets zu sorgen.
Die europäische IP-Adress-Registry Réseaux IP Européen (RIPE) hat die Internet Corporation for Assigned Names and Numbers (ICANN) aufgefordert, rasch für die Signierung der DNS-Rootzone mit Sicherheitsprotokoll DNSSEC zu sorgen. Das geht aus einem Brief (PDF-Datei) von RIPE-Direktor Rob Blokzijl, RIPE-NCC-CEO Axel Pawlik und von einem der Vorsitzenden der DNS-Arbeitsgruppe beim RIPE, Jim Reid, an den ICANN-Vorsitzenden Vint Cerf und ICANNs CEO Paul Twomey hervor.
DNSSEC soll das Spoofen von Adressen im Domain Name System erschweren, indem es per Public-Private-Key-Verfahren eine Überprüfung der Authentizität von Serveradressen ermöglicht. Spoofing wird dadurch zwar nicht unmöglich gemacht, aber für den Nutzer offensichtlich. Für eine lückenlose Absicherung müssen allerdings nicht nur die einzelnen Adresszonen (.se, .bg) signiert werden, sondern auch die Rootzone als oberste Ebene des DNS. Nur so wird das DNS insgesamt geschützt und der zentrale Schlüsselcheck möglich.
Gebremst wird die Signierung aber durch die Frage, wer den privaten DNSSEC-Schlüssel für die Rootzone halten soll. Vom US-Ministerium für innere Sicherheit angestellte Überlegungen dazu, die Verantwortlichkeit analog zur Aufsicht über die ICANN bei einer US-Behörde anzusiedeln, riefen Kritik bei Teilen der Community über die US-Zentrierung hervor.
Beim RIPE-Treffen in Tallinn haben laut dem RIPE-Schreiben Provider vor allem ihre Unzufriedenheit über den langsamen Fortschritt bei DNSSEC ausgedrückt und entschieden, ICANN eine Stellungnahme für eine rasche Signierung der Rootzone zukommen zu lassen. Besorgt ist man beim RIPE etwa darüber, dass kurzfristige Workarounds langfristig für Probleme sorgen. Look-Aside-Tabellen, aus denen sich DNSSEC-Schlüssel beziehen lassen, werden zu langsam, wenn zu viele Schlüssel eingetragen werden. Zudem wollen die Provider die Schlüssel für verschiedene Zonen ungern an unterschiedlichen Stellen beziehen. Ein Vorschlag, dass RIPE vorläufig als Schlüsselregistry für europäische Adresszonen tätig werden soll, stieß daher auf weniger Gegenliebe. Bevorzugt wird die rasche Signierung durch ICANN oder eine von ICANN bestimmte Schlüsselinstanz. Man hoffe, dass ICANN bald einen Zeitplan für die DNSSEC-Einführung bekannt geben werde, schließt der Brief.
Beim turnusmäßigen ICANN-Treffen in der kommenden Woche in San Juan, Puerto Rico, wird die Signierung der Root nun gemeinsam mit der ICANN-Spitze diskutiert. Laut Reid sollen eine Reihe anderer Organisationen angekündigt haben, dass sie sich dem RIPE-Aufruf anschließen wollen.
Siehe dazu auch:
- Rootzone-Sicherung sorgt weiter für Debatten
- ICANN soll Signatur der DNS-Rootzone übernehmen
- Department of Homeland Security will den Masterschlüssel fürs DNS
- Diskussion über den Masterschlüssel für die DNS-Aufsicht
- Torwächter Das Department of Homeland Security will mehr DNS-Kontrolle, c't 11/2007
(Monika Ermert) / (anw)
