※ Bergland ※

Die Vorbereitungen für die Absicherung der Rootzone des Domain Name Systems (DNS) mit dem Protokoll DNS Security Extensions (DNSSEC) gehen in die heiße Phase. Beim 76. Treffen der Internet Engineering Task Force (IETF) in Hiroshima präsentierte das Design-Team von VeriSign, der Internet-Verwaltung ICANN und der US-Behörde NTIA die scharfen Sicherheitsbestimmungen, unter denen die verschiedenen notwendigen Schlüssel erzeugt, aufbewahrt und erneuert werden. Sorge bereitete den Entwicklern bei der IETF, dass noch Kanäle dafür fehlen, mögliche Effekte des DNSSEC-Roll-Out ab Januar den Internet Service Providern zu erklären, beziehungsweise deren Beobachtungen zu Problemen abzufragen.

Im Oktober überraschten ICANN und VeriSign mit dem Zeitplan für die DNSSEC-Signierung der Rootzone. Bereits am ersten Dezember wird intern signiert, ab Januar publiziert der erste Rootserver die Zone nach außen. Mittels der kryptographisch abgesicherten DNSSEC-Signaturen soll verhindert werden, dass DNS-Informationen auf dem Weg vom Absender zum Empfänger verändert werden. Der Abgleich von privatem und öffentlichem Schlüssel offenbart, wenn Antworten nicht von der richtigen Domain kommen.

Die Signierung der Rootzone ist notwendig, um die Vertrauenskette innerhalb des Domain Name System zur Umsetzung von Domain- und Host-Namen auf IP-Adressen durchgängig zu machen; erste Top Level Domains wie .se und .org haben ihrer Zonen bereits signiert. Da der Eingriff ins DNS erheblich ist und bei Fehlern ganze Zonen vom Netz verschwinden können, soll der Roll-Out in kleinen Schritten erfolgen. Nacheinander werden ab Januar die Rootserver L, J, M, I, D, K und so weiter signierte Antworten ausgeben. Voraussichtlich im Mai wird A als letzter Server hinzukommen. A erst ganz zum Schluss einzubeziehen, sei eine schlechte Idee, warnten die IETF-Entwickler, es befördere den längst überholten Mythos, dass A etwas besonders sei.

Jakob Schlyter vom Beratungsunternehmen Kirei sagte gegenüber heise online, es sei heute nicht mehr so, dass DNS-Resolver bei Priming-Anfragen, also bei einem ersten Abruf der Rootzone, immer zuerst auf A zurückgriffen. Die Wahl, A ans Ende zu setzen, sei reine Vorsicht. Einen möglichen Stopp des gesamten Roll-Outs für den schlimmsten Fall hält man sich ebenfalls offen: Bis Juli wird ein nicht validierbarer Schlüssel präsentiert. Damit lasse sich jederzeit die signierte Zone zurückziehen, ohne dass diejenigen, die bereits validierten, keine DNS-Zonen und -Auflösung mehr sähen.

Die enormen Vorsichtsmaßnahmen spiegeln sich schließlich auch beim Schlüsselmanagement, das in hoch gesicherten Rechenzentren und mit Gruppen von „Schlüsselbewahrern“ stattfinden wird. Die Internet-Verwaltung ICANN hält dabei den Masterschlüssel (Key Signing Key) über das ganze System einschließlich des Schlüssels für die Rootzone; die ICANN sucht dafür derzeit sieben Personen, von denen jeweils mindestens fünf anwesend sein müssen, um einen neuen Masterschlüssel zu erzeugen, und mindestens drei für neue Signaturen.

Quelle: heise.de