Menü

DNSSEC: Größte Veränderung in der Geschichte des DNS

Lesezeit: 2 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen 116 Beiträge
Von

Ende 2010 will der zuständige Registrar VeriSign die .net-Zone, mit DNSSEC-Signaturen versehen und damit sicherer machen gegen Man-in-the-Middle-Attacken. Anfang 2011 soll dann die größte Zone signiert werden: .com. VeriSign-Ingenieur Matt Larson bezeichnete beim IETF-Meeting in Stockholm die Einführung von DNSSEC als größte Veränderung in der Geschichte des DNS. Das Internet werde nach der Signierung nicht mehr das gleiche Internet sein, meinte auch Olaf Kolkmann, der beim Internet Society Roundtable aus der Perspektive der Entwickler sprach. DNSSEC erlaubt die Überprüfung der Authentizität einer DNS-Antwort durch den Abgleich eines kryptographisch gesicherten Schlüsselpaares.

Eine ganze Reihe von Ankündigungen kam bei dem Round-Table auf den Tisch: Frisch signiert ist etwa die Internet Domain der Internet Engineering Task Force (IETF), ietf.org. Das berichtete Jim Galvin von Afilias, Backendbetreiber für die von der Public Interest Registry betriebene .org-Domain. Diese ist seit dem 2. Juni signiert und hat bereits das erste Update ihres Zonenschlüsselpaares hinter sich. Den so genannten Key Signing Key (KSK), also den Masterschlüssel, der den Zonenschlüssel sichert, werde man ebenfalls demnächst austauschen. Allerdings, so meinte Galvin im Gespräch mit heise online, erwarte man wenig Überraschungen dabei. Noch sind lediglich eine ausgesuchte Zahl von Domains in .org signiert, und zwar insbesondere solche, deren Betreiber das Geschäft und die technischen Anforderungen genau kennen.

Was passiert, wenn in der Zukunft die zentrale Rootzone des DNS solche Schlüsselupdates fahren muss, wisse man wirklich erst, wenn man es zum ersten Mal mache, meinte Galvin. Die politisch nicht unumstrittene Signierung der Rootzone ist laut Larson und Rick Lamb, DNSSEC Projektmanager bei ICANN, nach wie vor für Ende 2009 geplant.

Die US-Regierung hatte handstreichartig VeriSign zum Manager des Schlüssels für die Rootzone und ICANN zum Hüter des Masterschlüssels ernannt. Seit Anfang Juli kursiert unter Experten ein Dokument von ICANN, NTIA und VeriSign zu den Anforderungen. Die genauen Verfahren werden aktuell noch zwischen ICANN und VeriSign ausgehandelt. Mit bedacht werden muss dabei unter anderem, dass beim Transfer der Schlüssel zwischen ICANN und VeriSign keine Angriffsstellen entstehen. Alles machbar, versicherten Lamb und Larson.

Die Hauptarbeit kommt wohl insbesondere auf Registries und Registrare zu. Einfach jede Systemkomponente bei der Registrierung von Domains muss nachgerüstet werden, vom Registry-Registrar-Protokoll EPP bis zu den Geschäftsbedingungen oder eigens für die Signierung vorgesehene Server. Zudem werden die zusätzlich mit kryptographischen Schlüssel gefüllten Zonen unhandlicher. "Alles wird eben einfach größer" sagte Larson. Die neunzig Millionen Domains enthaltenden .com- und .net-Zonen werden auf das Drei- bis Vierfache aufgeblasen. Galvin berichtete von einem Ansteigen des TCP-Verkehrs auf den .org-Servern auf das Doppelte bis Dreifache. Mitverantwortlich sei wohl, dass die größeren Datenpakete auf dem Weg zum Empfänger verworfen werden.

Trotz solcher Schwierigkeiten jubelte Lamb, eine signierte Rootzone könne auch der Ausgangspunkt eines globalen PKI-Systems sein. Bislang seien Bemühungen um eine globale PKI-Architektur daran gescheitert, dass sich Regierungen, aber auch der Markt niemals auf eine vertrauenswürdige globale Zertifizierungsstelle hätten einigen können. Das DNS sei aber als verteilte Architektur schon vorhanden. Auf die Frage, warum Regierungen oder der Markt einem von einer von den US-Behörden beaufsichtigten Organisation und einem privaten, kommerziellen Unternehmen wie VeriSign mehr vertrauen sollten, sagte Lamb: "Weil es kein von oben verordnetes, sondern von der Gemeinschaft von unten aufgebautes System ist." So ganz stimmt das nicht, denn wie das System organisatorisch funktioniert, wird sehr wesentlich von den US-Behörden bestimmt. (Monika Ermert)/ (je)