Leichte Bewegung bei DNSSEC
Auch auf der ICANN-Tagung vergangene Woche in Kairo war die Sicherung der Rootzone ein Thema. Microsoft will DNSSEC mit dem Vista-Nachfolger Windows 7 unterstützen.
VeriSign will nach eigenen Angaben die Rootzone und nacheinander die vom ehemaligen Domain-Monopolisten betriebenen Zonen .edu, .com und .net mit DNSSEC (DNS Security Extensions) signieren. Das sagte Verisign-Direktor Pat Kane beim 33. Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in der vergangenen Woche in Kairo. Microsoft-Manager Shyam Seshadri erläuterte auf der Tagung unterdessen, wie der Vista-Nachfolger Windows 7 und der Windows 2008 R2 DNS Server DNSSEC-Signaturen und deren Validierung unterstützen werden.
Serverseitig werde das Signieren von Zonen mit einem Offline-Signatur-Tool unterstützt. Auf der Client-Seite werde automatisch überprüft, ob der eigene DNS-Server den Schlüssel der abgefragten Zone geprüft hat. Der Client selbst validiere nicht, sagte Sheshadri. Je nach Konfiguration beziehungsweise der gewählten Einstellung werde der Client DNS-Antworten, die der Server nicht validiert habe, verwerfen. Noch nicht integriert hat Microsoft die neuesten Maßnahmen gegen Zone Walking, einer Angriffsmöglichkeit gegen DNSSEC, die ein Auslesen der gesamten Zone erlaubt. Der Standard NSEC3 soll das verhindern, sei für die aktuelle Microsoft-Arbeit aber zu spät gekommen, erklärte Sheshadri. Verfügbar wird Windows 7 laut Sheshadri erst im ersten Quartal 2010.
Bis dahin, so hoffen die verschiedenen Registries und DNS-Verwalter, ist auch die Rootzone signiert. Bei der Frage, wer die Schlüsselverwaltung auf der obersten Ebene übernehmen und den Masterschlüssel halten soll, schlagen sich ICANN und VeriSign jeweils selbst als Schlüsselverwalter vor, wenn auch mit einem System von "Teilschlüsseln". VeriSign habe die Erfahrung, sei lange im Geschäft und erfülle alle technischen Voraussetzungen, so Kane. Rick Lamb von ICANN verwies darauf, dass die Ansiedlung des Schlüsselmanagements direkt bei IANA erlaube, Prüfung und Signierung der Zone an einer Stelle zu konzentrieren. Jede Übertragung der Daten öffne dagegen einen zusätzlichen Angriffspunkt.
Vertreter der National Telecommunications and Information Administration (NTIA), die dem US-Handelsministerium unterstellt ist, riefen die internationale Gemeinschaft erneut dazu auf, sich im Rahmen der laufenden Anhörung zu den Konzepten für die Signierung der Rootzone zu Wort zu melden. Die Frist endet am 24. November. (Monika Ermert) / (vbr)
