Menü

Kryptografische Absicherung des DNS kommt voran

vorlesen Drucken Kommentare lesen 34 Beiträge

Als Initiatoren des DNSSEC-Tests zogen Denic, das BSI und der eco-Verband auf einem Treffen in Frankfurt am Dienstag eine vorsichtig positive Halbzeitbilanz. Und das trotz offener Fragen beim Software-Support und in der Administration sowie noch bescheidener Zahlen – aktuell haben die 34 am Test beteiligten Registrare nur 700 Second-Level-Domains registriert.

Von DNSSEC (DNS Security Extension) erwarten sich die Experten mehr Sicherheit gegen Angriffe auf das Domain Name System (DNS), da Antworten des Systems über den Abgleich eines Schlüsselpaares auf ihre Authentizität überprüft werden können. Seit Anfang Januar bietet die deutsche Registry Denic eine signierte Variante der de-Zone auf einer eigenen Infrastruktur an.

Langsam formiert sich auch der Support bei Hardware- und Software. In Frankfurt kündigte Jan Schöllhammer von AVM die Unterstützung von DNSSEC im nächsten Release der Fritzbox an. Die Anpassung von DNS-Software wie BIND und Unbound auf DNSSEC macht Fortschritte oder wird zumindest von den Entwicklern in Aussicht gestellt. Produkte wie OpenDNSSEC sollen zusätzlich helfen, das aufwändige Schlüsselmanagement zu automatisieren.

Ohne passende Softwareunterstützung laufen Registrare im Live-Betrieb Gefahr, dass Domains aus dem Netz verschwinden. Anders als bei SSL-Zertifikaten führen abgelaufene DNSSEC-Signaturen dazu, dass die entsprechenden Domains verworfen werden. Immer wieder passiere dies bei der von den US-Behörden genutzten .gov-Zone, berichtete Bernhard Schmidt vom Münchner Leibniz-Rechenzentrum. Auch die DNSSEC-gesicherte Domain der abgelaufenen tschechischen EU-Präsidentschaft war jüngst über Tage nicht erreichbar, berichtete Thorsten Dietrich vom BSI.

Die Experten berichteten in Frankfurt übereinstimmend, dass es bei der Validierung und der Auslieferung einer signierten Zone kaum zu Lastverschiebungen komme. "Keine signifikanten Auswirkungen auf den produktiven Systemen der neueren Generation" hat das BSI bei der Signierung der Zone bund.de feststellen können. Bei älteren Systemen sei die CPU-Last um 2 bis 3 Prozent gestiegen, das Transfervolumen durch die Auslieferung um 5,5 Prozent. Die über TCP statt über UDP abgewickelten Anfragen seien von 0,3 Prozent auf 0,9 Prozent gestiegen.

Neben den notwendigen Software-Anpassungen gibt es noch zahlreiche administrative Fragen zu klären. So kann ein Providerwechsel auch den weniger einfachen Umzug von Schlüsseln notwendig machen. Dabei ist der Domainkunde auf die Kooperation seines bisherigen Providers angewiesen. Die Schweizer Switch will zunächst Transfers nur erlauben, wenn der neue Provider DNSSEC unterstützt. Denic-Chefin Sabine Dolderer hält eine solche Bevormundung des Kunden für fragwürdig.

Für die DNS-Rootzone wurde am Dienstag in einer siebenstündigen Signierungs-Zeremonie das erste Schlüsselset für den zentralen Key Signing Key (KSK) generiert. Ab 15. Juli wird die zentrale Rootzone nur noch signiert verteilt. Bis alle Glieder der Kette eingerastet sind, dürfte noch viel Zeit vergehen. Bei der Denic soll im vierten Quartal über einen möglichen Start des operativen Betriebs von DNSSEC für de entschieden werden. (vbr)