Schlüsselvermehrung
Wie DNS-Multi-Signing die Internet-Sicherheit verbessert
Die DNSSEC genannte Sicherheitserweiterung des Domain Name System schützt beim Internetsurfen, verbreitet sich aber nur langsam. Nun haben findige Administratoren Wege gefunden, gleich zwei ungelöste Probleme beim Betrieb mit vielfach redundanten DNS-Servern und beim Wechsel des Domain- und DNS-Hosters zu lösen. Dieses Know-how kommt allen Domaininhabern zugute.
Wer Server im Internet anhand ihres Domainnamens ansteuert, beispielsweise meinebank.de, möchte sicher sein, dass er tatsächlich einen Dialog zum gewünschten Server aufbaut – digitale Wegelagerer sollen weder mithören noch den Verkehr manipulieren oder umleiten können. Doch bereits der erste Schritt, das Übersetzen des menschenlesbaren Domainnamens in eine maschinenlesbare IP-Adresse mittels DNS-Lookup, ist problematisch: Das zugrunde liegende Domain Name System (DNS) entstand Mitte der 1980er-Jahre ohne Absicherung.
Anfangs war das kein Problem, das Internet war ja noch ein Forschungsnetz. Das änderte sich in den Neunzigerjahren, als es sich im großen Stil für Privatnutzer öffnete und Kriminelle neue Tätigkeitsfelder fanden. Das DNS blieb aber noch jahrelang weitgehend unverändert.