Holpriger Start für DNS Security bei .gov

Die .gov-Adresszone ist seit vergangener Woche DNSSEC-signiert. Allerdings ergeben Tests über Server in Deutschland und den USA für die Server von dotgov.gov aktuell einen Time-Out.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Monika Ermert

Die Adresszone .gov ist seit vergangener Woche DNSSEC-signiert. Jetzt streikt der Server, über den der öffentliche Schlüssel für die Zone eigentlich abgefragt werden sollte. Tests über Server in Deutschland und den USA ergeben für die Server von dotgov.gov aktuell einen Time-Out. Möglicherweise wurde dotgov.gov ebenfalls signiert, und den zuständigen Administratoren ist dabei ein Fehler unterlaufen.

Hans-Peter Dittler, Geschäftsführer von Braintec-Consult und Experte fürs DNS und DNS Security Extensions (DNSSEC), erläutert gegenüber heise online, jeder kleinste Fehler und jedes Vertippen könnten sich massiv auswirken. Der aktuelle Fehler müsse aber nicht ursächlich mit DNSSEC zusammenhängen, das sei von hier aus schwer festzustellen.

Das vor über zehn Jahren entwickelte DNSSEC soll durch einen Abgleich von öffentlichem und privaten Schlüssel verhindern, dass sich Angreifer zwischen Client und Server im DNS-System zur Namensauflösung im Internet schalten. Nachhaltige Bemühungen zur Umsetzung des Konzeptes gibt es, seit der US-Sicherheitsepxerte Dan Kaminsky im vergangenen Jahr eine neue Variante für einfache Cache-Poisening-Attacken gegen das Domain Name System (DNS) präsentiert hatte.

Bis Ende 2009 sollen alle US-Behörden ihre eigenen Domains für DNSSEC signieren. Whitehouse.gov ist aktuell noch nicht signiert, der Plan für die Implementierung sollte aber vorliegen. In einem Memorandum (PDF-Datei) des Büros für E-Government und Informationstechnik des Präsidenten vom August 2008 wurden alle Behörden aufgefordert, sofort Implementierungspläne vorzulegen.

International setzen bislang lediglich einzelne Länderadressezonen DNSSEC ein. Am längsten verbreitet das schwedische NIC eine signierte Zone. Nach .gov wird in diesem Jahr die .org-Zone signiert, versichert Betreiber Public Interest Registry (PIR). VeriSign hat die Signierung von .com, der größten Zone im Netz, auf 2011 verschoben.

Afilias hat derweil einen "1-Click DNSSEC Service" angekündigt. Der Dienst, der im kommenden halben Jahr getestet wird, werde Domaininhabern die gesamte Schlüsselverwaltung abnehmen, sagte Afilias-CTO Ram Mohan. Die Teilnahme sei auch möglich, wenn die eigene Zone noch nicht signiert ist. Für eine Validierung von DNSSEC-Signaturen auf Endnutzersystemen fehlt es derzeit aber noch an Software. Afilias verbreitet den öffentlichen Schlüssel in diesem Fall über so genannte Trust Anchor Dienste (TAR). Mohan hofft auf eine Signierung vieler TLDs und vor allem auch der Rootzone, damit die DNSSEC-Vertrauenskette von der Endnutzerdomain bis zur Spitze der DNS-Hierarchie geschlossen wird. (Monika Ermert) / (anw)