Initiative von DENIC, eco und BSI für mehr Sicherheit im Domain Name System

Frankfurt am Main, 3. Juli 2009. Die DENIC eG, der eco Verband der deutschen Internetwirtschaft e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben das DNSSEC-Testbed für Deutschland auf den Weg gebracht.

Ziel sei ein konzertiertes Vorgehen unter Beteiligung der gesamten betroffenen Industrie, sagte DENIC-Vorstand Sabine Dolderer vor rund 70 Teilnehmern auf dem Startmeeting im Hause der DENIC eG am 2. Juli in Frankfurt am Main. Nach Abschluss des Testbeds Anfang  2011 werde es möglich sein, eine abgestimmte Empfehlung zum weiteren Vorgehen zu geben.

Das Testbed erlaubt es, alle zukünftig in der Praxis relevanten Szenarien in einem gemeinsamen kooperativen Umfeld zu testen. So geht es um die Unterstützung von DNSSEC für .de-Domains, die Veröffentlichung der Trust-Anchor, um Prozesse für die Domainregistrierung, DNSSEC-spezifische Ergänzungen bei Prozeduren wie Providerwechseln und Nameserver-Updates sowie die Nutzung dieser dann gesicherten Information durch Endkunden über deren Internetzugang. Um den Test möglichst produktionsnah zu gestalten, wird die DENIC parallel zum aktuellen Nameservice der .de-Domain einen Nameservice in Produktionsqualität aufbauen, der es Unternehmen ermöglicht diesen nicht nur für Testzecke zu nutzen, sondern durchaus auch kontrolliert im produktiven Umfeld zu testen.  Daneben sollen Schnittstellen zur Registrierung und Verwaltung der Schlüsselinformationen für signierte Zonen von Second-Level-Domains unterhalb von .de realisiert werden.

Teilnehmende Internet Service Provider und andere Unternehmen mit eigenen Resolving-Nameservern können diese signierte .de-Zone durch spezielle Konfigurationsänderungen an ihren Nameservern nutzen. Die DENIC eG wird den Verkehr sowie die Nutzung des Testbeds kontinuierlich beobachten und regelmäßig darüber informieren.

In einem Grußwort zur Auftaktveranstaltung wies Dr. Kai Fuhrberg vom BSI auf die Bedeutung einer zukünftigen Nutzung von DNSSEC hin. Es gelte, die Widerstandsfähigkeit des DNS zu stärken und so die Internet Community vor Risiken zu schützen. Welchen technischen Nutzen DNSSEC birgt, beschrieb Hans Peter Dittler von der BRAINTEC Netzwerk-Consulting GmbH in seinem Vortrag über die Wirkungsweise und die Geschichte von DNSSEC. Das Sicherheitsprotokoll authentisiert den gesamten DNS-Verkehr und schließt damit unbemerkte Manipulationen an den Daten durch Dritte unterwegs aus.

DENIC-Vorstand Dr. Jörg Schweiger stellte die Details des DENIC-Testbeds vor. Um den Einsatz von DNSSEC auch außerhalb des Labors zu testen, stellt die DENIC eG auf zwei Nameservern in Europa und einem in Asien eine komplette Kopie einer aktuellen aber signierten .de-Zone in produktiver Betriebsqualität bereit. Auf dieser können die Teilnehmer operative und technische Erfahrungen in einer produktionsnahen Umgebung sammeln.

Wie die Nameserver der Testumgebung bei einem ISP und durch seine Kunden genutzt werden können, stellte Ralf Weber von COLT Telekom GmbH am Beispiel der Planungen seines Unternehmens vor. Thorsten Dietrich vom BSI kündigte eine Studie seines Amtes an, wie weit Zugangssoftware und Router bereits DNSSEC unterstützen.

Weitere Informationen zum Meeting finden sich unter

www.denic.de/dnssec