Erster Rootserver liefert ab 1. Dezember DNSSEC-signierte Zone

Ab dem 1. Dezember wird die zentrale Rootzone des Domain Name System (DNS) signiert und damit das seit Jahren diskutierte Protokoll DNS Security Extensions (DNSSEC) in die Praxis umgesetzt. Das haben Joe Abley von ICANN und VeriSign Manager Matt Larson nun auf dem 59.Treffen des "Réseaux IP Européens" RIPE in Lissabon angekündigt. Allerdings wird die signierte Rootzone erst nach und nach an die insgesamt 13 Rootserver verteilt, der öffentliche Schlüsselteil soll erst ab dem 1. Juli 2010 verbreitet werden. Erst dann können die Antworten tatsächlich validert werden. DNSSEC soll dafür sorgen, dass Antworten auf DNS-Anfragen nur noch vom dafür autorisierten Server kommen können.

Seitdem der Sicherheitsexperte Dan Kaminsky gezeigt hat, wie leicht sich solche Antworten fälschen und anfragende Nutzer damit in die Irre führen lassen, haben Experten unter Hochdruck an der Einführung von DNSSEC gearbeitet. Den Zeitpunkt der beschleunigten Einführung hat das US-Handelsministerium verfügt, das auch entschied, dass VeriSign und die ICANN gemeinsam die Signierung der Rootzone übernehmen sollen.

Auf dem RIPE wurde begrüßt, dass DNSSEC in die Praxis umgesetzt wird. Die langsame Herangehensweise bezeichnete Olaf Kolkman von Nlnet Labs als "klug". Abley erklärte, man wolle schrittweise vorgehen, um zu verhindern, dass das DNS wegen der erwarteten größeren Antworten auf die Anfragen an die Rootserver in die Knie geht. Wenn erst ein Rootserver die signierte Zone liefert, sei zu beobachten, wie viele Server im Netz die signierten Antworten "umrouten" und sich bei den unsignierten Varianten bedienen.

Eine weitere Design-Entscheidung ist möglicherweise dem ambitionierten Zeitplan geschuldet. Der Schlüssel für die Rootzone soll ein RSA 1024-bit-Schlüssel werden und kein längerer 2048-bit-Schlüssel. Die Zone soll mit NSEC und nicht mit dem Nachfolgestandard NSEC3 signiert werden. Da der Schlüssel nur für vier Monate gültig sei, reiche das aus, trotz der von den US-Behörden bereits ausgegebenen Direktiven zu längeren Schlüsseln zu migrieren. Für den Masterschlüssel dagegen wird die längere Schlüsselvariante (2048-bit RSA) benutzt. Diese wird nur alle zwei bis fünf Jahre ausgetauscht.

Immer mehr ccTLD-Manager haben in den vergangenen Monaten angekündigt, dass sie ihre Zonen ebenfalls mit DNSSEC signieren wollen. Zuletzt gab die Schweizer .ch- und .li-Registry Switch den DNSSEC-Start bekannt. Auf dem RIPE-Treffen in Lissabon sagte Sara Monteiro von der .pt-Registry FCCN, sie sei von der Signierung lediglich Monate entfernt. Das DeNIC startete kürzlich einen allerdings auf zwei Jahre angelegten Testbetrieb. Je dichter die DNSSEC-Kette geschlossen ist, desto sicherer wird das DNS. Allerdings erwarten Experten auch Beeinträchtigungen, insbesondere immer wieder den Ausfall von Domains, weil nicht rechtzeitig neu signiert wird. (anw)