Durch die Signatur der Root-Zone ist die letzte große Hürde für DNSSEC gefallen. Die Performance-Probleme sind nicht so gravierend wie ursprünglich befürchtet. Nun ist es nur noch eine Frage der Zeit, bis alle wichtigen Zonen signiert sind. Durch NSEC3 ist nun auch das Risiko des Zone-Walking gelöst. Die Herausforderungen verlagern sich zunehmend auf die organisatorischen Fragen wie die Schlüsselverwaltung.
Durch DNSSEC for Humans ermöglicht der DNS-Server BIND9 ab der Version 9.7 eine einfache und automatisierte Schlüsselverwaltung. Es bleiben zwei naturgegebene Grenzen: Zum einen muss der Resolver seinerseit DNSSEC unterstützen – hierauf haben die Domainbetreiber keinerlei Einfluss – zum anderen verfolgt DNSSEC architekturbedingt nur die Sicherheitsziele Authentizität und Integrität, nicht aber Vertraulichkeit. Über diesen Umstand sollte sich jeder Administrator im Klaren sein, bevor er DNSSEC in seinem Unternehmensnetz implementiert. (ofr)
Infos