VeriSign führt DNS Security Extensions in der .net-Zone ein

Schutz des Domain-Name-Systems vor "Cache Poisoning"- und "Man-in-the-Middle"-Attacken

(10.01.11) - Vor kurzem gab VeriSign, Anbieterin von Internet-Infrastrukturleistungen, bekannt, dass DNS Security Extensions (DNSSEC) in der .net-Zone eingeführt wurden. Von allen Zonen, in denen DNSSEC bisher implementiert wurde, ist .net mit 13 Millionen Domain Name-Registrierungen die größte. Die Einführung ist wichtig, da .net die Basis für zahlreiche wesentliche Internetfunktionen ist.

"Mit der Einführung von DNSSEC in der .net-Zone hält VeriSign ihren Zeitplan für 2010 ein. Die DNS-Daten aller .net-Registrierungen sind nun sicher vor Hackern und Identitätsdieben, die Anfragen von Nutzern über Cache Poisoning auf schädliche Webseiten umleiten wollen", sagt Raynor Dahlquist, Senior Vice President und General Manager von Naming Services bei VeriSign. "Auch ISPs, Browseranbieter, Registrare und andere Parteien des DNS-Ökosystems signalisieren, dass ihre Dienstleistungen und Lösungen auf die Einführung von DNSSEC vorbereitet sind. Wir werden weiterhin mit all diesen Parteien zusammenarbeiten, um die solide Implementierung von DNSSEC zu gewährleisten. Dies gilt insbesondere mit Blick auf die geplante Aktivierung von DNSSEC in der .com-Zone im ersten Quartal 2011."

DNSSEC versieht DNS-Daten mit digitalen Signaturen, um die Herkunft der Daten zu authenti-fizieren und deren Integrität zu bestätigen. Die Sicherheitserweiterungen zielen darauf ab, das DNS vor Hackerangriffen zu schützen, die DNS-Daten auf rekursiven Servern verändern und Anfragen zu sicherheitsgefährdenden Webseiten umleiten. Durch die Einführung von DNSSEC wird es Hackern deutlich erschwert, DNS-Daten zu manipulieren, weil DNS-Administratoren ihre Daten eindeutig signieren. Die resultierenden digitalen Signaturen der DNS-Daten werden durch mehrmalige Überprüfung validiert.

"DNSSEC ist ein wichtiger Schritt, um die Infrastruktur sicherer zu machen. Auch Go Daddy will dazu beitragen, dass das Internet für alle Nutzer sicher wird", sagt Warren Adelman, President und Chief Operating Officer des weltgrößten Domain Name-Registrars GoDaddy.com. "Wir unterstützen die DNSSEC-Implementierung in der .net-Zone, weil wir unseren Kunden Sicherheit und Zuverlässigkeit bieten wollen."

Nach der Einführung von DNSSEC in der .net-Zone, kann VeriSign nun DNSSEC-fähige Datenbankeinträge von Registraren in ihre .net-Registrierungsdatenbank übernehmen. Dies ist das Ergebnis umfangreicher DNSSEC-Tests. Die Zusammenarbeit mit Educause und dem US-Handelsministerium bei der Implementierung von DNSSEC in der .edu-Zone vor einigen Monaten war dabei sehr hilfreich.

Eine Schlüsselkomponente der Zusammenarbeit von VeriSign mit der Internetcommunity ist das sogenannte DNSSEC-Interoperabilitätslabor. Es hilft Lösungsanbietern und Dienstleistern festzustellen, ob DNS-Pakete mit DNSSEC-Informationen, die in der Regel größer sind als übliche DNS-Pakete, zu Problemen für ihre Internet- und Unternehmensinfrastruktur führen. Mit dem Labor soll sichergestellt werden, dass das komplette Kommunikations-Ökosystem Internet auf DNSSEC vorbereitet ist.

Die DNSSEC-Initiative wird außerdem mit Projekt Apollo abgestimmt. Dahinter steht das Ziel, die DNS-kompatible Infrastruktur des Internets um den Faktor tausend zu erweitern. Dadurch werden im Jahr 2020 geschätzt vier Quadrillionen Anfragen pro Tag möglich sein. Projekt Apollo schließt direkt an den erfolgreichen Abschluss des Projekts Titan an, durch das die DNS-Infrastruktur auf das Zehnfache des Stands von 2007 ausgebaut worden ist. (VeriSign: ma)