Suchen

DNS Security Extensions in der Internet-Root-Zone verfügbar VeriSign führt DNSSEC für die Root-Nameserver ein

Redakteur: Peter Schmitz

VeriSign hat DNSSEC (DNS Security Extensions) in der Rootzone des Domain Name Systems (DNS) aktiviert und bringt damit erstmals eine neue Sicherheitstechnologie zum Einsatz, die die

VeriSign schützt seine Root-Nameserver ab sofort mit DNSSEC. Die Nameserver liefern so digital signierte DNS-Antworten.
VeriSign schützt seine Root-Nameserver ab sofort mit DNSSEC. Die Nameserver liefern so digital signierte DNS-Antworten.
( Archiv: Vogel Business Media )

VeriSign hat DNSSEC (DNS Security Extensions) in der Rootzone des Domain Name Systems (DNS) aktiviert und bringt damit erstmals eine neue Sicherheitstechnologie zum Einsatz, die die zentrale Instanz des weltweiten Adresssystems für Domainnamen absichert.

Die Einführung von DNSSEC in der Rootzone bedeutet, dass die Root-Nameserver digital signierte DNS-Antworten liefern. Anhand dieser Signatur kann verlässlich überprüft werden, von welchem Server die Antwort kommt und ob sie unverändert empfangen worden ist.

Die signierte Rootzone wird in Abstimmung mit der ICANN (Internet Corporation for Assigned Names and Numbers) und dem US-Handelsministerium eingeführt. Die Signierung der Rootzone ist wichtig, damit DNSSEC auch in weiteren Teilen der DNS-Infrastruktur eingeführt werden kann.

Schutz vor Cache Poisoning und Man-in-the-Middle-Angriffen

Die Sicherheitserweiterung schützt das DNS vor „Man in the Middle“- und „Cache-Poisoning“-Angriffen. Bei solchen Attacken modifizieren Hacker die DNS-Daten auf rekursiven Servern, um Websiteaufrufe auf Phishing- oder Malware-Webseiten umzuleiten. Wenn rekursive DNS-Server ebenfalls digital signiert werden, wird das „Cache Poisoning“ erschwert. Denn dadurch entsteht eine lückenlose „Vertrauenskette“, die mit der Ausgabe eines öffentlichen Schlüssels für die Root-Zone ihren Anfang nimmt und über rekursive Server bis zum letzten Empfänger aufgebaut wird.

„Die Absicherung des DNS gemeinsam mit der ICANN und dem US-Handelsministerium ist ein bedeutendes Ereignis für VeriSign“, sagt Ken Silva, Senior Vice President und Chief Technology Officer bei VeriSign. „Es ist ein gewaltiger Fortschritt für das branchenweite Vorhaben, Verbraucher und Unternehmen vor Hackern zu schützen, die Sicherheitslücken im DNS ausnutzen.“

Der Einführung von DNSSEC in der Rootzone sind zahlreiche erfolgreichen DNSSEC-Tests mit den Betreibern aller Root-Server unter Aufsicht der ICANN vorausgegangen. Während der strengen Testverfahren konnte keines der Unternehmen negative Auswirkungen auf die Leistungsfähigkeit des DNS beobachten, was das US-Handelsministerium dazu bewogen hat, die Root-Zone-Signierung zu genehmigen.

VeriSign verwaltet zwei der weltweit 13 Internet-Root-Server. Diese beiden Server - a.root-servers.net und j.root-servers.net – werden von der US-Regierung als nationale IT-Assets betrachtet. VeriSign verwaltet zudem zahlreiche Kopien der Root-Server mit Hilfe der Anycast-Routing-Technik.

(ID:2046268)