Verisign eröffnet DNSSEC-Testlabor

Der Betreiber der TLDs .com und .net möchte möglichst viele Hardwarehersteller für DNSSEC gewinnen. Die Technik kann die Sicherheit im Internet nur dann erhöhen, wenn alle mitziehen. Derzeit fürchten viele Domaininhaber Kompatibilitätsprobleme.

Verisign eröffnet ein Labor, in dem sich DNSSEC-Lösungen auf ihre Interoperabilität testen lassen. Das gab das Unternehmen heute in einer Pressemitteilung bekannt. Das Labor steht allen Anbietern von Hard- und Software offen, die ihre Produkte auf Kompatibilität mit DNSSEC-Technologien überprüfen und Interoperabilität mit anderen Herstellern sicherstellen wollen.

Zahlreiche Top-Level-Domains (TLD) haben damit begonnen, ihre DNS-Zonen mit DNSSEC zu sichern. Das ist notwendig, da es mittels Man-in-the-Middle-Angriffen möglich ist, einem DNS-Server gefälschte Antworten auf eine Frage unterzuschieben. Dan Kaminsky konnte bereits 2008 mit einer später nach ihm benannten Attacke jeden DNS-Server in zehn Sekunden kapern.

Obwohl DNSSEC eine vollständig rückwärtskompatible Sicherheitserweiterung des DNS-Standards ist, kommt es häufig zu Problemen: Insbesondere preisgünstige Consumer-NAT-Router kommen nicht mit DNS-Antworten zurecht, die größer als 512 Byte sind. Durch die zusätzlichen Informationen, die bei der Nutzung von DNSSEC anfallen, wird dieser Wert jedoch häufig überschritten.

Derzeit signieren zwar viele TLDs wie .com ihre DNS-Zonen, Inhaber von Second-Level-Domains wie example.com ziehen jedoch nicht mit, da sie wegen der Kompatibilitätsprobleme um ihre Erreichbarkeit fürchten. Mit dem Labor hofft Verisign, mehr Hersteller zur Unterstützung von DNSSEC gewinnen zu können.

„DNSSEC bietet allen Internetnutzern Sicherheit, es ist aber nur effektiv, wenn es komplett eingeführt wird“, sagt Ken Silva, Chief Technology Officer bei VeriSign. „Die gesamte Internetgemeinde muss an der Einführung mitarbeiten, sonst können wir die bestehenden technischen Unwägbarkeiten bei Firewalls, Lastverteilung und anderen Infrastrukturelementen nicht kontrollieren.“

Wenn nur ein Teil der Domaininhaber sich für DNSSEC entscheidet, entstehen sogenannte DNSSEC-Inseln. Sie machen es sehr schwierig, die Echtheit einer DNS-Antwort zu überprüfen, da dazu viele Keys verwaltet werden müssen, deren Änderung meist über Mailinglisten angekündigt wird.

Themenseiten: Internet, Kommunikation, Server, Servers, Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Verisign eröffnet DNSSEC-Testlabor

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *