Seite 7: DNSSEC: Gehversuche

Inhaltsverzeichnis

Gehversuche

DNSSEC baut auf der Verifikation von Schlüsseln auf: Jeweils die übergeordnete Instanz bestätigt die Echtheit der Schlüssel der ihr untergeordneten Instanzen. Im DNS ist die oberste Instanz die Root-Zone. Diese muss also die Echtheit von Schlüsseln aller Top Level Domains bestätigen (.de, .se, .com …). Die Root-Zone wird vom ICANN kontrolliert und dieses hat in Zusammenarbeit mit dem Unternehmen VeriSign im Oktober 2009 erstmals konkrete Pläne vorgelegt, die Root-Zone zu signieren. Über den Plan und den Fortgang der Prüfungen informiert das ICANN auf einer eigens angelegten Web-Site (http://www.root-dnssec.org/). Wenn die diversen mehrstufigen internen Tests erfolgreich verlaufen, soll die Root-Zone ab Juli 2010 per DNSSEC abgesichert sein.

Da die Eingriffe ins DNS erheblich sind und bei Fehlern die Abfragen ganzer Zonen blockiert werden können (und somit die darin aufgeführten Server bis zur Reparatur der Zone nur noch direkt anhand ihrer IP-Adresse erreichbar sind), soll der Roll-Out in kleinen Schritten erfolgen. Nacheinander werden ab Januar die Rootserver L, J, M, I, D, K und so weiter signierte Antworten ausgeben. Einen möglichen Stopp des gesamten Roll-Outs für den schlimmsten Fall hält man sich offen: Bis Juli werden nämlich nur nicht validierbare Schlüssel verwendet. So lässt sich eine signierte Zone jederzeit schadlos zurückziehen.

Den Masterschlüssel für die Rootzone, also den Key Signing Key, hütet die Internet-Verwaltung ICANN. Alle zwei bis fünf Jahre soll ein neuer Masterschlüssel erzeugt werden; bei Notfällen kann dies auch in kürzeren Zeiträumen passieren. Die Elemente, die die zur Signatur- und Schlüsselgenerierung vorgesehene Hardware freischalten, liegen in verschlossenen Boxen bei der ICANN. Die Schlüssel zu diesen Boxen verwahren sieben von der ICANN als besonders vertrauenswürdig eingestufte Personen aus der ganzen Welt. Um einen neuen Masterschlüssel zu erzeugen, müssen mindestens fünf dieser Schlüsselbewahrer anwesend sein und mindestens drei für neue Signaturen. Ähnliche Verfahren gibt es bei VeriSign für das Management des Rootzonen-Schlüssels (Zone Signing Key, ZSK). Anders als der Key Signing Key wird dieser viermal im Jahr ausgetauscht.

Auch die deutsche Internet-Verwaltung DeNIC plant, DNSSEC einzuführen. Erste Tests laufen seit Dezember 2009. So können Provider seitdem zwei eigens aufgesetzte Testserver mit Bind und Unbound in Frankfurt und Amsterdam ansprechen. Signierte Antworten liefern dieser beiden Testserver ab Januar. Der Test soll bis Anfang 2011 laufen. Erst dann wird über den Wirkbetrieb entschieden.