Tests zur Sicherung der DNS-Zonen gestartet

Die Internet Corporation for Assigned Names and Numbers (ICANN) und das US-Unternehmen VeriSign informieren nun auf einer eigenen Webseite über den Start der Signierung der Rootzone. Die den Signaturen zugrunde liegende Architektur "Domain Name System Security Extensions" (DNSSEC) soll dafür sorgen, dass Antworten auf DNS-Anfragen nur vom richtigen Server kommen können. Seit dem ersten Dezember ist die oberste Zone im DNS, die Rootzone, signiert, allerdings vorerst nur intern. In der Woche ab dem 11. Januar 2010 soll der L-Server als erster der 13 Rootserver die signierte Zone liefern.

Auch beim DeNIC ging ein DNSSEC-Test am 1. Dezember in eine Vorphase, in der Provider zwei eigens aufgesetzte Testserver in Frankfurt und Amsterdam ansprechen können – vorerst allerdings noch ohne DNSSEC-Signaturen. Getestet wird in unterschiedlichen Konfigurationen auf einem Server mit Bind-Software, auf dem anderen mit Unbound. Genau wie bei der Rootzone geht es im Januar in die nächste Runde. Schon in der ersten Januarwoche liefern die beiden Testserver eine signierte de-Zone. Ende Januar soll bei einem Treffen eine erste Bilanz gezogen werden.

Während der .de-Test durch die zwei eigens aufgesetzten Server vollständig vom tatsächlichen Betrieb der Zone getrennt läuft, sollen die Signaturen in der Rootzone "weich" gestartet werden: Bis Ende Juni werden die 13 Rootserver Schlüssel ausgeben, die nicht validiert werden können, auch wenn ein Provider aus Versehen bereits versucht zu validieren. Dadurch soll ein Stopp der Signierung möglich sein, falls es zu größeren Problemen bei Providern oder deren Endkunden käme. Solche Probleme könnten etwa durch längere, weil mit Signaturen versehene, DNS-Antworten entstehen.

Das DeNIC will sich zur Sicherheit lieber noch etwas mehr Zeit nehmen. Der Test soll bis Anfang 2011 dauern. Erst dann wird über den Wirkbetrieb entschieden.

Siehe dazu auch:

• DNS: Sieben Schlüsselbewahrer für die Rootzone

(anw)