VeriSign kündigt Einführung von DNS Security Extensions an

VeriSign hat DNSSEC in der Rootzone des Domain Name Systems (DNS) aktiviert und bringt damit erstmals eine neue Sicherheitstechnologie zum Einsatz, die die zentrale Instanz des weltweiten Adresssystems für Domainnamen absichert. Die signierte Rootzone wird in Abstimmung mit der Internet Corporation for Assigned Names and Numbers (ICANN) und dem US‑Handelsministerium eingeführt. Die Signierung der Rootzone ist wichtig, damit DNSSEC auch in weiteren Teilen der DNS-Infrastruktur eingeführt werden kann.

„Die Absicherung des DNS gemeinsam mit der ICANN und dem US-Handelsministerium ist ein bedeutendes Ereignis für VeriSign“, sagt Ken Silva, Senior Vice President und Chief Technology Officer bei VeriSign. „Es ist ein gewaltiger Fortschritt für das branchenweite Vorhaben, Verbraucher und Unternehmen vor Hackern zu schützen, die Sicherheitslücken im DNS ausnutzen.“

Die Einführung von DNSSEC in der Rootzone bedeutet, dass die Root-Nameserver digital signierte DNS-Antworten liefern. Anhand dieser Signatur kann verlässlich überprüft werden, von welchem Server die Antwort kommt und ob sie unverändert empfangen worden ist. Die Sicherheitserweiterung schützt das DNS vor „Man in the Middle“- und „Cache-Poisoning“-Angriffen. Bei solchen Attacken modifizieren Hacker die DNS-Daten auf rekursiven Servern, um Websiteaufrufe auf Phishing- oder Malware-Webseiten umzuleiten. Wenn rekursive DNS-Server ebenfalls digital signiert werden, wird das „Cache Poisoning“ erschwert. Denn dadurch entsteht eine lückenlose „Vertrauenskette“, die mit der Ausgabe eines öffentlichen Schlüssels für die Root-Zone ihren Anfang nimmt und über rekursive Server bis zum letzten Empfänger aufgebaut wird.

Der Einführung von DNSSEC in der Rootzone sind zahlreiche erfolgreichen DNSSEC-Tests mit den Betreibern aller Root-Server unter Aufsicht der ICANN vorausgegangen. Während der strengen Testverfahren konnte keines der Unternehmen negative Auswirkungen auf die Leistungsfähigkeit des DNS beobachten, was das US-Handelsministerium dazu bewogen hat, die Root-Zone-Signierung zu genehmigen.

VeriSign verwaltet zwei der weltweit 13 Internet-Root-Server. Diese beiden Server – a.root-servers.net und j.root-servers.net – werden von der US-Regierung als nationale IT-Assets betrachtet. VeriSign verwaltet zudem zahlreiche Kopien der Root-Server mit Hilfe der Anycast-Routing-Technik.

Info: www.verisign.com