Hintergrund

Was ist DNSSEC?

DNSSEC ist eine Protokollerweiterung, die das Domain Name System (DNS) um Quellenauthentisierung ergänzt. Hierbei lässt sich mittels Public-Key-Technologie sicherstellen, dass eine Antwort des DNS exakt den Informationen entspricht, die der verantwortliche Zonenverwalter in das System eingepflegt hat. Mit DNSSEC werden insbesondere die in RFC3833 beschriebenen protokoll-inhärenten Risiken adressiert. Die IETF hat an der Entwicklung von DNSSEC mehr als zehn Jahre gearbeitet und schließlich im März 2005 die drei RFCs RFC4033, RFC4034 und RFC4035 veröffentlicht. Diese Trilogie ist auch unter dem Namen "DNSSECbis" bekannt.

Ein gravierendes Problem von DNSSECbis stellt das sogenannte "Zone Walking" dar: Durch die vollständige Auflistung des Zoneninhalts stellt dieser Effekt jedoch einen Schlüssel zu den Registrierungsdaten sowie zu sämtlichen Änderungen am Zoneninhalt dar. Für die DENIC wie für einige andere - vorrangig, aber nicht ausschließlich europäische - Registries ist dieser Effekt nicht mit den Datenschutzverpflichtungen vereinbar. Zur Lösung dieses Problems verfolgte die IETF zwei Ansätze, die inzwischen als "Proposed Standard" veröffentlicht sind.

Die Dokumente RFC4470 und RFC4471 beschreiben eine Methode zur dynamischen Erzeugung von NSEC-Records und ihren Signaturen. Wegen der Notwendigkeit, die DNSSEC-Schlüssel dafür auf allen Nameservern vorzuhalten, wird dieses Verfahren jedoch nur in Ausnahmefällen einsetzbar sein, so dass dafür bis heute noch keine Implementierungen existieren. Die zweite Lösung, NSEC3 (beschrieben in RFC5155), macht durch geschickte Verschleierung die Ergebnisse eines etwaigen Zone Walking wertlos und unbrauchbar. Dieses Verfahren ist in den gängigen Nameserver- und Resolverimplementierungen umgesetzt. In beiden Fällen war die DENIC an der Entwicklung beteiligt.