VeriSigns Titan-Projekt soll für mehr Sicherheit sorgen

Kurz vor dem Treffen der Internetverwaltung ICANN vom 22. bis 26. Juni in Paris bekommen Frankreich und Belgien "Ableger" der zentralen Server des Domain Name Systems (DNS). Rund 100 sogenannte Anycast-Instanzen hatte VeriSign im Rahmen seines Projekts Titan bis zum Jahr 2010 angekündigt. Das Projekt liege voll im Zeitplan, sagte VeriSigns CTO Ken de Silva im Gespräch mit heise online. Nachdem die DNS-Infrastruktur in der ersten Phase vor allem um "zusätzliche Boxen" erweitert worden sei, werde man sich nun verstärkt um zusätzliche Sicherheit der DNS-Infrastruktur kümmern. Die wird auch ein Thema beim Pariser ICANN-Treffen in der kommenden Woche sein.

Zu den Cross-Site-Scripting-Lücken auf den Webseiten VeriSigns, für die der Anbieter von Sicherheitszertifikaten Anfang der Woche in der Kritik stand, sagte de Silva: "Nach allem, was wir wissen, sind alle beschriebenen Lücken gestopft. Einen Datenverlust gab es nicht." Typischerweise würde in den entsprechenden Berichten immer auf den schlimmsten anzunehmenden Fall abgehoben, ohne dass dieser eingetreten sei. Eine letzte Garantie, dass es keinerlei Angriffsmöglichkeiten gegen ein System gebe, könne niemand geben, der sein System nicht komplett zumachen wolle, ergänzte de Silva.

VeriSign sei auf jeden Fall proaktiv beim Thema Sicherheit. Genau das will der Betreiber von zwei der 13 DNS-Rootserver mit dem aktuellen Hinweis auf das Titan-Projekt unterstreichen, auch wenn Titan nicht die Anwendungs-, sondern die Infrastrukturebene betrifft. Dass bei der nachgerüstet werden muss, zeigt laut VeriSign die Entwicklung der DNS-Abfragen. "Aktuell sehen wir in der Regel 35 Millionen DNS-Abfragen täglich, in der Spitze können es auch 100 Millionen sein." Das dürfte mit der wachsenden Zahl von Geräten im Netz und dem kommenden Adressreichtum von IPv6 weiter steil ansteigen. Die beiden von VeriSign betriebenen Rootserver "A" und "J" unterstützen wie vier weitere bereits IPv6.

Auch auf die Authentifizierungsmöglichkeit, die das DNSSEC-Protokoll ins DNS bringen soll, sei das Unternehmen vorbereitet. De Silva gab sich zurückhaltend zum Sicherheitsgewinn durch das hierarchische Schlüsselsystem fürs DNS. DNSSEC decke nur einen sehr kleinen Teil des Problemfelds ab. Keinen Schutz bietet DNSSEC etwa bei Denial of Service Attacken, auch Phishing bleibt weiter ein Problem. Während Beobachter den Widerwillen großer Registries wie VeriSign (com-Registry) gegen DNSSEC nicht zuletzt durch den notwendigen Aufwand motiviert sehen, sagte de Silva, eine mögliche schrittweise Einführung müsse letztlich von der Internetgemeinschaft insgesamt entschieden werden. Sein Unternehmen sei auf DNSSEC ebenfalls vorbereitet. Stark gemacht haben sich bislang insbesondere die britische Registry Nominet und die Registry für .org, Public Interest Registry (PIR). (Monika Ermert) / (vbr)