DNSSEC-Testbed erfolgreich abgeschlossen – Einführung des erweiterten DNS-Protokolls für den 31. Mai 2011 geplant

DNSSEC (Domain Name Security Extensions) soll künftig auch .de-Domains noch besser absichern. Zu diesem Schluss kam eine breit angelegte Testphase, die mit einem abschließenden Meeting heute erfolgreich zu Ende ging. „DNSSEC hat seine operative Bewährungsphase im Testbed bestanden“, sagt DENIC-Vorstandsmitglied Sabine Dolderer (CEO). „DENIC wird DNSSEC daher am 31. Mai 2011 einführen und ich bin zuversichtlich, dass wir damit einen weiteren wichtigen Schritt in Richtung Internetsicherheit gehen“, so Dolderer in der Frankfurter DENIC-Geschäftsstelle. Konkret soll dadurch das Umlenken auf andere Webseiten, das Mitlesen von Daten sowie die Manipulation von Inhalten verhindert werden. Das Testbed, das die zentrale Registrierungsstelle für .de Domains DENIC gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) ins Leben rief, fand in der Zeit vom Juli 2009 bis Dezember 2010 statt.

Kooperative Zusammenarbeit

Neben der technischen Realisierbarkeit ging das Testbed einem breiten Spektrum an Fragen rund um DNSSEC nach. Um diese möglichst breite Betrachtung zu gewährleisten, wurde das Testbed extra so angelegt, dass alle Anspruchsgruppen von Internet Service Providern (ISP) bis Endproduktherstellern von Hard- und Software aktiv mitwirken konnten. Gerade diese kooperative Vorgehensweise hat sich als Erfolgsfaktor erwiesen. In engem Kontakt wurden Probleme kurzfristig identifiziert, Lösungen erarbeitet und neue Prozesse entwickelt. Unter anderem wurde die DENIC-Registrierungsschnittstelle erweitert, um die Registrierung von Schlüsselmaterial in Echtzeit zu ermöglichen. Bereits jetzt haben Ergebnisse des DNSSEC-Testbeds, wie die Erweiterung des Name Server Testers (NAST) ihren Weg in den praktischen Arbeitsalltag genommen. Weitere Informationen zu NAST und dem gesamten DNSSEC-Testbed sind auf der DENIC-Website unter http://www.denic.de/domains/dnssec.html zu finden. Als Termin für die Einführung von DNSSEC plant DENIC den 31. Mai 2011. Damit soll Registraren, ISPs und Nutzern genügend Zeit gegeben werden, sich auf die Einführung vorzubereiten, um einen verlässlichen Einsatz des erweiterten DNS-Protokolls zu gewährleisten.

Hintergrund

Über DNSSEC

Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine von Computern verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen das Telefonbuch des Internet. Derzeit erfolgt der Transport der DNS-Informationen – also welche Domain in welche IP-Adresse aufzulösen ist – unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht verhindern, dass möglicherweise unzutreffende Informationen selbst signiert oder die Nutzer auf höherer Ebene irregeführt werden.
Der Kaminsky-Report (www.doxpara.com/DMK_BO2K8.ppt) berichtete im Juli 2008 über Schwachstellen im Domain Name System (DNS), die eine Verfälschung der im Cache eines DNS-Servers gespeicherten Einträge ermöglicht. Damit kann ein Angreifer die Kontrolle über die Namensauflösung für bestimmte Hosts oder Domains erlangen und darauf aufbauend weitere Angriffe durchführen.

Die DENIC eG

Als zentrale Registrierungsstelle verwaltet die DENIC eG die inzwischen mehr als 14 Millionen Domains unterhalb der Top Level Domain .de und stellt damit eine wesentliche Ressource für die Nutzer des Internets bereit. Mit der Mission, als neutraler und kompetenter Dienstleister für alle Domaininhaber und Internetnutzer zu agieren, legen die mehr als 120 Mitarbeiter den Grundstein dafür, dass deutsche Internetseiten und E-Mail-Adressen weltweit erreichbar sind. Die über 270 Mitglieder der Genossenschaft sind deutsche wie internationale Unternehmen aus dem IT- und TK-Bereich. Gemeinsam mit ihnen und anderen Kooperationspartnern setzt sich die DENIC für den sicheren Betrieb und die weltweite Weiterentwicklung des Internets ein. Dabei arbeitet sie ohne Gewinnerzielungsabsicht.

Zu ihren Aufgaben gehören der Betrieb des automatischen elektronischen Registrierungssystems für die Mitglieder, der Betrieb der Domain-Datenbank für die Top Level Domain .de und die deutsche ENUM-Domain (.9.4.e164.arpa), der Betrieb des Nameserverdienstes für die .de-Zone und die deutsche ENUM-Domain an derzeit 15 Standorten auf der ganzen Welt sowie die Mitgestaltung der organisatorischen und technischen Weiterentwicklung des Internets in Zusammenarbeit mit internationalen Gremien (z. B. ICANN, CENTR, IETF).

Bei Fragen wenden Sie sich bitte an:
DENIC eG
Pressereferat
Fon: +49 69 27235-274
E-Mail: mailto:presse@denic.de