c't 4/2019
S. 22
News
DNSSEC

Wechselfehler

Hunderte .nrw-Domains teils nicht erreichbar

Vor einiger Zeit haben viele Städte und Gemeinden in Nordrhein-Westfalen per DNSSEC abgesicherte Domains übernommen. Das hat nicht ganz reibungslos geklappt, sodass die Hälfte der Internet-Nutzer in Deutschland darauf nicht zugreifen kann. Das Problem kann generell bei übernommenen Domains auftreten.

Laut dem Asia-Pacific Network Information Centre nutzen Mitte Januar 2019 schon 50 Prozent der deutschen Surfer die Sicherheitstechnik DNSSEC. Sie können fehlkonfigurierte .nrw-Domains nicht erreichen.

Viktor Dukhovni, der unter anderem in der Internet Engineering Task Force mitarbeitet, entdeckte im Dezember 2018, dass über 240 Domains mit der Endung .nrw nicht erreichbar sind. Gemeinden und Behörden in Nordrhein-Westfalen nutzen für ihre Webseiten und Internetdienste unter anderem diese Top-Level-Domain.

Der ursprüngliche Registrar Global Village hatte die Domains im Auftrag des Landes per DNSSEC abgesichert (signiert), die neuen Registrare behandelten sie aber so, als seien sie unsigniert. Damit klappt die für Internet-Dienste essenzielle DNS-Auflösung nicht mehr einwandfrei. Denn um eine Domain anzusteuern, brauchen Browser die zugehörige IP-Adresse. Um diese zu bekommen, befragen sie den im Betriebssystem konfigurierten Resolver (auch „DNS-Server“ genannt). Ist es ein herkömmlicher Resolver, liefert er die IP-Adresse der Domain ungeprüft. Moderne Resolver testen aber, ob die im Domain Name System (DNS) hinterlegte Information signiert ist – wenn ja, prüfen sie damit, ob die Information unverfälscht ist und ob sie aus einer vertrauenswürdigen Quelle stammt (Validierung).

Kommentare lesen (2 Beiträge)