Eines der Grundelemente für die Sicherheit von Internet-Domain-Namen muss weltweit aktualisiert werden. Gemäss dem am 1. Februar 2018 veröffentlichten Zeitplan müssen die Signaturschlüssel der Sicherheitstechnik DNSSEC (Domain Name System Security Extensions) in der Rootzone des Domain-Namen-Systems (DNS) bis zum 11. Oktober 2018 erneuert werden. Diese Schlüssel dienen dazu, die Echtheit der DNS-Auskünfte sicherzustellen, und tragen so zur Absicherung des DNS bei. Internetbetreiberinnen sind von dieser Aktualisierung besonders betroffen und sollten sich deshalb entsprechend informieren. In der Schweiz wird DNSSEC derzeit nur bei rund 2 Prozent der .ch-Domain-Namen und 1,3 Prozent der .swiss-Domain-Namen verwendet. Diese Nutzungsraten dürften jedoch rapide ansteigen, da einige Registrare diese Option künftig standardmässig in ihre Angebote zur Registrierung von Domain-Namen aufnehmen.
Olivier Girard, Telecomdienste und Post
Die internationale Verwaltungsstelle für Domain-Namen ICANN (Internet Corporation for Assigned Names and Numbers) hat den neuen Zeitplan zur Erneuerung der DNSSEC-Signaturschlüssel in der DNS-Rootzone veröffentlicht. Diesem vorausgegangen war ein erster Versuch, der Ende September 2017 in letzter Minute hatte unterbrochen werden müssen. Die ICANN hatte damals festgestellt, dass zu viele Systeme noch nicht aktualisiert waren.
Die Netzbetreiberinnen (hauptsächlich die Internet-Service-Provider [ISP], Unternehmensnetzbetreiberinnen und DNS-Dienstanbieterinnen) haben nun bis zum 11. Oktober 2018 Zeit, um die notwendigen Anpassungen vorzunehmen. In der Zwischenzeit sollen sie sich über die nächsten Fristen für die Erneuerung der DNSSEC-Signaturschlüssel in der Rootzone und vor allem über allenfalls zu treffende Massnahmen innerhalb ihrer Infrastruktur informieren. Tatsächlich könnte eine Schwachstelle in der mit DNSSEC gebildeten Vertrauenskette (Chain of Trust) schwerwiegende Folgen für einige wichtige webbasierte Systeme und Prozesse haben. Alle relevanten Informationen dazu sind auf der ICANN-Website verfügbar.
DNSSEC – ein Element zur Garantie der Echtheit einer Website
Mit den DNSSEC-Signaturschlüsseln kann sichergestellt werden, dass eine mit einem Domain-Namen bezeichnete Website (z. B. www.admin.ch) auch wirklich diejenige ist, die sie vorgibt zu sein. Diese DNS-Sicherheitserweiterungen sind der Allgemeinheit wenig bekannt. Durch sie wird eine Vertrauenskette gebildet, deren erstes Glied sich in der Rootzone des DNS befindet. Sie greifen somit am Ausgangspunkt der Umwandlung einer Webadresse (z. B. www.google.com) in eine IP-Adresse (z. B. 172.217.13.78). Diese Umwandlung – in der Fachsprache Auflösung genannt – erfolgt jedes Mal, wenn eine Webadresse in einem Browser eingegeben wird.
Bei diesem Prozess wird eine erste Anfrage an die Rootzone des DNS gesendet, die mit Informationen zur Top-Level-Zone (die "com"-Zone beim oben erwähnten Beispiel) antwortet. Eine zweite Anfrage wird danach an die "com"-Zone des DNS geschickt, die über die nächste Ebene, d. h. die "google.com"-Zone, Auskunft gibt. Schliesslich ergeht eine dritte Anfrage an die "google.com"-Zone des DNS, die wiederum Informationen über die Webadresse "www.google.com" und insbesondere ihre IP-Adresse liefert, über die der Browser auf die gewünschte Website zugreifen kann. Mit DNSSEC können die DNS-Antworten auf jede Anfrage im Auflösungsprozess authentifiziert werden. Ohne diese Kontrolle kann sich eine böswillige Person in einer der Ebenen dazwischenschalten, um die Internetnutzenden zu einer falschen, von ihr kontrollierten IP-Adresse zu leiten. Solche Angriffe werden Mittelsmannangriffe genannt (Man-in-the-Middle-Angriff, MITM).
Das DNSSEC-Authentifizierungssystem basiert auf den Prinzipien einer Public-Key-Infrastruktur (PKI). Vereinfacht gesagt signiert der DNS-Server die Informationen, die er an die direkt untergeordnete Ebene des DNS liefert, mit privaten kryptografischen Schlüsseln. Der Resolver (Auflöser), der die Informationen erhält, kann mithilfe von öffentlichen kryptografischen Schlüsseln des DNS-Servers die Herkunft authentifizieren und die Integrität der Daten überprüfen. Eines der Elemente dieses kryptografischen Schlüsselsystems, das ganz am Anfang der Vertrauenskette auf Ebene der DNS-Rootzone verwendet wird, wurde 2010 bei der Einführung von DNSSEC generiert und seitdem nicht mehr erneuert. Genau dieses Element, das als Schlüsselunterzeichnungs-Schlüssel (key signing key, KSK) bezeichnet wird, muss im Rahmen des derzeit von der ICANN geleiteten Erneuerungsprozesses ersetzt werden.
Bei einem ersten, im Jahr 2015 gestarteten Versuch hatte die ICANN geplant, 2016 ein neues KSK-Element zu generieren. Dieses hätte im Juli 2017 in die DNS-Rootzone eingeführt werden sollen (parallel zum alten KSK-Element). Es war vorgesehen, dass die Auflösung von Internet-Domain-Namen ab dem 11. Oktober 2017 nur noch mit diesem neuen KSK-Element erfolgt. Nur wenige Wochen vor diesem Termin zeigte eine Analyse über den Stand der Resolver (Server, die Domain-Namen auflösen und die Authentifizierung der DNS-Antworten mithilfe von DNSSEC validieren) allerdings, dass zu viele dieser Resolver nicht mit den Parametern des neuen KSK-Elements aktualisiert worden waren und daher nicht in der Lage gewesen wären, die Herkunft zu authentifizieren und die Integrität der Antworten auf DNS-Abfragen mit DNSSEC zu überprüfen. Die ICANN beschloss daher am 27. September 2017, den Prozess zu stoppen und die Erneuerung des KSK-Elements zu verschieben.
Das BAKOM wird die Entwicklungen im ICANN-Prozess aktiv verfolgen und die ISPs, die als Fernmeldedienstanbieterinnen nach dem Fernmeldegesetz registriert sind, entsprechend informieren.
Letzte Änderung 10.04.2018
