DNSSEC: Experten warnen vor politischen Risiken und technischen Nebenwirkungen

Der Umzug einer Domain von einem Provider zu einem anderen könnte nach der Einführung des Sicherheitsprotokolls DNS Security Extension (DNSSEC) erhöhte Vorsicht erfordern. Da der mittels DNSSEC für eine Zone hinterlegte private Schlüssel nicht ohne Weiteres umziehen kann, könnte der Abgleich von privatem und öffentlichem Schlüssel fehlschlagen. Im schlimmsten Fall käme es zum Black-out der Domain, warnten Experten beim Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in Sydney.

Nachdem die US-Regierung inzwischen auf eine Signierung der Rootzone noch in diesem Jahr drängt und immer mehr Top Level Domains DNSSEC-Tests starten, sei ein Standard zur Abwicklung solcher Umzüge notwendig. DNSSEC soll durch eine ins DNS eingebaute PKI-Architektur die Authentifizierung von Domains verbessern.

Schwierig wird es laut dem Cisco-Ingenieur Patrik Fältström für den Domaininhaber, wenn der Umzug mit einem Wechsel des DNS-Providers verbunden ist. Der DNS-Provider kann dabei der Domainregistrar sein, aber auch der Hosting- oder der Internet-Provider. In Schweden, dessen Länderzone .se bereits seit einigen Jahren signiert ist und wo manche Provider ihren Kunden die Signierung ihrer Domains anbieten, sollten Provider, die kein DNSSEC anbieten, bei umgezogenen Domains etwaige DNSSEC-Einträge löschen. Allerdings passiert das laut Fältström häufig nicht. Daher hofft er darauf, dass die Internet Engineering Task Force (IETF) möglichst schnell ein Standardverhalten empfiehlt.

Grundsätzlich müsse genau durchgespielt werden, wie der Wechsel von Registraren, Domaininhabern und DNS-Betreibern auf die Validierung der DNSSEC-Signaturen durchschlage. Beim anstehenden deutschen Test sollen die verschiedenen Szenarien angeschaut werden, sagt das DeNIC, das am 2. Juli zu einem Workshop lädt.

Während die Diskussionen zur Implementierung und den technischen Nebenwirkungen von DNSSEC an Fahrt gewinnt, werden die politischen Risiken weiterhin hinter vorgehaltener Hand diskutiert. So richtig zufrieden ist niemand mit der von der US-Verwaltung ausersehenen Architektur zur Signierung der Rootzone. VeriSign übernimmt laut einer Präsentation von Ashley Heineman von der National Telecommunications and Information Administration (NTIA) in Sydney nicht nur die Signierung der Rootzone. Der Marktführer bei Domainregistrierungen, Betreiber der Rootzone fürs DNS und auch fürs Object Naming System (ONS), hat laut dem von Heineman vorgestellten Architekturplan auch bei der Signierung des Rootschlüssels (ZSK), beim "Key signing key" (KSK), seine Finger mit im Spiel.

Allerdings wird über die Festlegung der Datenflüsse zwischen VeriSign und der von der ICANN betriebenen Internet Assigned Numbers Authority (IANA) offenbar noch diskutiert. Experten pochen darauf, dass bei der Übertragung der zunächst unsignierten und später signierten Zonendaten zwischen IANA und VeriSign für absolute Manipulationssicherheit gesorgt wird. ICANN und zahlreiche Experten hatten sich zunächst die Signierung in einer Hand gewünscht und dies möglichst nahe an der Stelle, wo die Zonendaten generiert werden. Das Hin und Her zwischen verschiedenen Providern gilt als möglicher Angriffspunkt.

Andererseits gibt es offenbar jetzt auch Hinweise darauf, dass die NTIA die Forderung nach einer Aufteilung von ZSK und KSK nun auch umsetzen solle. Wird die Rolle der IANA/ICANN weiter beschnitten und weitere Aufgaben innerhalb der DNSSEC-Architektur an VeriSign vergeben, könnte die internationale Debatte um die Root-Signierung nochmals aufflammen. Bislang hat die Komplexität von DNSSEC der NTIA gestattet, nach eigenem Gutdünken zu verfahren. (Monika Ermert) / (anw)