Das Domain Name System (DNS) ist auf bestem Weg, noch sicherer zu werden: wie das US-Wirtschaftsministerium bekanntgab, sind seit vergangener Woche alle 13 Rootserver auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) umgestellt.
Bei DNSSEC, der Abkürzung für Domain Name System Security Extensions, handelt es sich um eine Erweiterung des DNS, mit der Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. In der Praxis zielt DNSSEC darauf ab, Sicherheitslücken im Internet wie Cache-Poisoning, DNS-Umleitungen oder DNS-Spoofing zu schließen. Praktisch muss man sich dies so vorstellen: Ein Internetnutzer will eine Anfrage an einen speziellen Internetdienst, etwa einen Webserver (www) stellen und gibt dazu im Browser einen Domain-Namen ein, wie zum Beispie www.domain-recht.de. Damit sein Computer weiss, welche Adresse zu verwenden ist, „fragt“ er einen Nameserver nach der Auflösung des Domain-Namens. Dieser wird nun den Domain-Namen von rechts nach links lesen und zuerst einen der 13 Root-Nameserver nach den autoritativen Nameservern für die TLD „.de“ fragen. Diese Antwort wird ihm gegeben und gespeichert. Danach fragt er weiter bei einem der .de-Nameserver nach der Second Level Domain „domain-recht“. Hat er diese Antwort, fragt er anschließend einen der übergebenen Nameserver nach der Subdomain „www“ ab und liefert diese endgültige Antwort an den Computer des Internetnutzers zurück. Auf dem Computer des Nutzer erscheint dann die Website von www.domain-recht.de. Dieser Prozess läuft natürlich für den Nutzer unbemerkt im Hintergrund innerhalb von Sekundenbruchteilen ab.
Der Ansatzpunkt von DNSSEC ist es nun, durch eine digitale Signatur, die mit jeder Nameserver-Abfrage mitgeliefert wird, sicherzustellen, dass all diese Anfragen auch wirklich zu dem gesuchten Angebot führen. Wikipedia formuliert es wie folgt: Ein DNS-Teilnehmer kann damit verifizieren, dass die durch den Server, mit dem er kommuniziert, gelieferten Zonendaten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. Cyberkriminellen soll es damit unmöglich gemacht werden, die Nameserver-Abfragen dazu zu nutzen, den Nutzer auf Drittangebote umzuleiten.
Um die Vorteile von DNSSEC zu nutzen und so eine möglichst hohe Sicherheit zu gewährleisten, bedarf es aber noch einer weit höheren Verbreitung. Doch auch diese Arbeiten laufen: so bietet etwa die deutsche Domain-Verwaltung DENIC seit 2. März diesen Jahres auch für Second Level Domains unter .de die Möglichkeit, am DNSSEC-Testbed teilzunehmen und das zugehörige Schlüsselmaterial zu hinterlegen. Auch EURid, Registry der Europa-Domain .eu, hat DNSSEC vor wenigen Wochen implementiert. Die Internetnutzer selbst müssen übrigens nichts unternehmen, um die Vorteile von DNSSEC zu nutzen – außer abwarten.