DNSSEC bei heise online: Einführung in Etappen

Wissen | Hintergrund

Heise Online führt DNSSEC schrittweise ein. Die Technik rückte bei den Administratoren in den Fokus, nachdem Anfang 2014 mit DANE eine Anwendung reif wurde, die sich beispielsweise zur Absicherung des Mail-Verkehrs nutzen lässt.

Wie bei anderen Unternehmen steht die Einführung der DNSSEC-Technik auch bei heise online auf der Agenda. Mit allmählich zunehmender Verbreitung liegen immer mehr praktische Erfahrungen bei der Implementierung und der Verwaltung signierter Domains vor, sodass DNSSEC in den letzten Monaten die Prioritätenliste hochgeklettert ist. So hat die heise-online-Administration erste Schritte zum Deployment unabhängig vom DNSSEC-Day unternommen. Bis diese Arbeiten öffentlich sichtbar werden und die Haupt-Domain heise.de signiert ist, werden freilich noch Monate ins Land gehen, denn die Einführung vollzieht sich in mehreren Etappen.

Anders als etwa bei Experimenten oder Test-Domains, bei denen vorübergehende Ausfälle sogar hilfreich sein können, um Zusammenhänge an laufenden Projekten zu studieren, muss eine Nachrichtenseite wie heise.de in erster Linie jederzeit reibungslos zugänglich sein. Um bei der Einführung einer so tiefgreifenden Technik den normalen Betriebsablauf zu gewährleisten, starten Unternehmen daher üblicherweise mit dem Signieren kleinerer Domains und bauen die Technik dann schrittweise weiter aus.

Konkret haben die heise.de-Administratoren DNSSEC ins Auge gefasst, als Anfang 2014 mit DANE erste Anwendungen auf DNSSEC in den Fokus rückten. Die heise.de-Administratoren schätzen an DANE beispielsweise, dass sich damit Fingerprints beliebiger Zertifikate über DNSSEC abfragen lassen, sodass man nicht mehr darauf angewiesen ist, der Zertifikatskette zu trauen. Auch für die Absicherung des Mail-Verkehrs zwischen Mail-Servern erscheint DANE und damit DNSSEC nützlich. Die gesamte Mail-Infrastruktur setzt bei heise.de auf einem Message Transfer Agent auf, für den es nach vorsichtiger Einschätzung der Administratoren noch zu wenig praktische Erfahrung mit DANE gibt. Im Rahmen eines großen Produktivsystems braucht es daher zusätzliche Erprobung – und auch dabei gilt: Zuerst muss ein stabiler Mail-Verkehr gewährleistet sein.

Gründe für die Einführung mit ruhiger Hand gibt es also einige und das lässt sich leider auch statistisch belegen: Es gibt tatsächlich Domains, auf denen DNSSEC nicht oder nur fehlerhaft läuft. Einen Eindruck kann man sich auf der Webseite NtldStats von Greensec Solutions und Stefan Meinecke verschaffen. Anfang Mai 2015 waren unter den aufgeführten Zonen über 50 000 signiert (weltweit sind es deutlich mehr, allein in den Niederlanden sind es über 2 Millionen). Auf 1797 von den 50 000 Zonen war DNSSEC nicht korrekt eingerichtet und funktionierte nicht (3,54 Prozent). Ende Juni hat die Seite rund 4 Prozent DNSSEC-Ausfälle bezogen auf insgesamt von NtldStats erfassste Zonen registriert. Und zu dieser Statistik möchten Admins von Produktivsystemen unter keinen Umständen beitragen.

Kommentare

Anzeige