Die DENIC hat, ganz nach dem Modell der bereits signierten Rootzone des Domain Name System (DNS), damit begonnen, die 16 für die Top Level Domain .de authoritativen Name-Server mit einer DNSSEC-signierten Zone zu versorgen. Die jeweils aktuellen Zonendaten werden dabei mit einer Signatur versehen und können per Schlüsselabgleich auf ihre Authentizität überprüft werden. DNSSEC soll eine Reihe von Man-in-the-Middle-Angriffe, wie etwa das Cache-Poisoning, unmöglich machen. Schließlich müssen de-Nutzer noch ihre eigene Domain signieren, um die eigene Domain vollends zu schützen.

Bis zum eigentlichen DNSSEC-Start Ende des Monats verhindert die DENIC allerdings die Validierung der Antworten, indem sie einen unlesbaren Schlüssel ablegt. Das Ausliefern der Signaturen kann so geprüft werden. Die verwendete Schlüsselphrase enthält statt des tatsächlich zur Signierung verwendeten Schlüssels aber unter anderem den Hinweis "THIS/IS/AN/INVALID/KEY/THAT/WILL/NOT/VALIDATE.//" So verhindert der "verschleierte Schlüssel", dass die Anfragenden den Schlüsselabgleich vornehmen können.

Laut Informationen der DENIC dient die Maßnahme wie schon beim Start von DNSSEC in der Rootzone dazu, sämtliche Einflüsse der DNSSEC-Information in den DNS-Antworten auf die gesamte DNS-Infrastruktur zu beobachten und zu analysieren. So könnte bei größeren Schwierigkeiten auch der Rückzug zum unsignierten Betrieb der de-Zone angetreten werden.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE