c't 5/2019
S. 52
News
Internet-Sicherheit

Haben wir schon immer so gemacht

Alte Nameserver-Technik bedroht die öffentliche Hand

DNSSEC bringt Sicherheit bei der Abfrage von IP-Adressen. Man sollte erwarten, dass Internet-Provider der Politik mit gutem Beispiel den Weg dorthin weisen. Die Wirklichkeit sieht anders aus.

Sicherheitsgewinn durch DNSSEC

Eigentlich waren die Weichen richtig gestellt: Als das Land Nordrhein-Westfalen .nrw-Domains für Städte und Kommunen reservierte, war DNSSEC von Anfang an dabei. Doch als einige Städte ihre Domains zu eigenen Providern brachten, wollten sich die neuen Verwalter anscheinend nicht mit dem Thema befassen. Bei der Hälfte wurde die Sicherheitstechnik abgeschaltet. Die andere Hälfte erwischte es schlimmer: DNSSEC blieb aktiviert, war aber auf den Nameservern nicht konfiguriert, sodass mehrere hundert Domains unerreichbar wurden.

Dabei ließen sich solche Störungen technisch verhindern, wenn das zur Domainverwaltung meist eingesetzte Extensible Provisioning Protocol bei einem Nameserver-Wechsel Schlüsselmaterial automatisch entfernen würde, falls der Admin kein neues konfiguriert. Bei .de-Domains ist das schon so – die zuständige Denic setzt auf ein eigenes Protokoll. Derzeit fordert aber niemand eine solche Erweiterung für EPP. Immerhin sind alle Registrare vertraglich verpflichtet, DNSSEC zu unterstützen.

Kommentieren