USA führen DNSSEC für alle Bundesbehörden ein

Die US-Regierung hat alle Bundesbehörden angewiesen, Maßnahmen zu ergreifen, um ihre Domains für DNSSEC vorzubereiten. Ab Januar 2009 will die Regierung nämlich DNSSEC zunächst für die Toplevel-Domain .gov einführen. Die Second-Level-Domains der Behörden sollen dann später folgen. Damit reagiert die US-Regierung auf die zunehmende Bedrohung durch Cache-Poisoning-Angriffe auf Nameserver, durch die sich auch .gov-Adressen auf Server von Kriminellen umlenken lassen.

Bei der DNSSEC-Erweiterung sind die Antworten eines Nameservers digital signiert, sodass der Empfänger mittels einer Public Key Infrastructure (PKI) prüfen kann, ob die Antwort authentisch ist und auch wirklich vom zuständigen Nameserver stammt. Bei der internationalen Einführung von DNSSEC hapert es derzeit an einer Einigung, wer die Oberhand über die PKI hat.

Der Zeitplan für die Einführung von DNSSEC bei den US-Behörden scheint zwar recht großzügig bemessen, allerdings mahlen auch die Behördenmühlen in den USA recht langsam: Bis Anfang September dieses Jahres sollen die Behörden erste Pläne für die Einführung vorlegen. Bis Dezember 2009 soll dann DNSSEC für alle Second-Level-Domains unter .gov etabliert sein.

Siehe dazu auch:

• Securing the Federal Government’s Domain Name System Infrastructure (PDF), Memorandum der US-Regierung

(dab/c't)