DNSSEC-Day: Kleine Nachlese
Das BSI, DENIC und heise online haben am 30. Juni im Rahmen des DNSSEC-Days die Vorteile der Technik vorgestellt und kritische Fragen diskutiert. Für manche unerwartet müssen neue Registrare Kunden künftig DNSSEC anbieten.
Die Sicherheitstechnik DNSSEC richtet sich gegen Manipulationen von DNS-Auskünften. Während in manchen anderen Ländern die Zahl der DNSSEC-abgesicherten Domains (genauer "signierten Zonen") teils die Millionenschwelle überschritten hat, fand sie bisher in Deutschland nur wenig Verbreitung. Dass man neben rund 40.000 signierten Domains auch sicherheitskritische Seiten wie postbank.de seit einer Weile anhand von signierten DNS-Antworten ansteuert, ist bisher die Ausnahme – soll aber nach Fachleuten im Zuge vielerlei Optimierungen und Sicherheitserweiterungen am Internet eher zur Regel werden.
Im Fokus: DDoS, IANA, IETF
Ohne DNSSEC können Kriminelle im Prinzip unbemerkt vom Nutzer Webseitenaufrufe auf präparierte Server umlenken und Eingaben wie Passwörter ausspionieren. Das Bundesamt für Sicherheit (BSI), die Registrierungsstelle für Domains mit .de-Endungen (DENIC) und heise online haben DNSSEC am 30. Juni im Rahmen einer Diskussionsrunde ausführlich vorgestellt. Das BSI hat eine Cyber-Sicherheitsempfehlung zur Verbesserung der Akzeptanz und der Verbreitung von DNSSEC herausgegeben. Der Video-Stream zum DNSSEC-Day steht weiterhin zum Abruf zur Verfügung. Zusätzlich ist die Aufzeichnung via Youtube erhältlich.
Im Foum von heise Netze und aus Mail-Zuschriften an die Redaktion wird die kontrovers geführte Diskussion zur Bewertung der Technik deutlich. Manche Kritiker äußerten die Meinung, dass DNSSEC "veraltet und halbgar" sei und daher besser aufgegeben und neu entwickelt werden sollte. Andere äußerten Besorgnis über die vergrößerte Angriffsfläche gegen das Domain Name System (Lorphos: "Wer DNSSEC deployed macht sich zum Mittäter bei DDOS-Attacken"). Diskussionsgegenstand waren unter anderem die Sicherheitstechnik DNSCrypt, die Vertrauenswürdigkeit der US-Institution IANA und die Rolle der IETF bei der Standardisierung von Internet-Spezifikationen.
Pflichtprogramm DNSSEC
Die Teilnehmer, Thorsten Dietrich (BSI), Peter Koch (DENIC), Carsten Strotmann (Men and Mice) sowie Patrick Koetter (Sys4) sind auf diese und etliche andere Punkte ausführlich im Rahmen der vierstündigen Diskussion eingegangen. Dabei gab es beispielsweise auch die Information, dass neue Registrare künftig verpflichtet sind, DNSSEC-Angebote für Kunden zu machen, was die Entwicklung wesentlich beeinflussen dürfte.
Positiv stimmt die zunehmende Zahl an Registraren und Hostern, die DNSSEC-Dienstleistungen anbieten. Im Nachklapp zum DNSSEC-Day haben sich weitere gemeldet. Der Berliner Mail-Dienstleister Posteo hat eigens zum DNSSEC-Day alle seine Zonen signiert (und das sind unerwartet viele), der Regisrtrar UD Media bietet Kunden Domainschutz im Rahmen einer Rabattaktion und das Berliner Startup deSEC hat eigens zum DNSSEC-Day einen dynDNS-Dienst implementiert, der standardmäßig mit DNSSEC abgesichert ist – offizielle Ankündigung folgt. (dz)
