VeriSign kämpft mit ICANN und Registraren für mehr Internet Sicherheit

DNSSEC soll „Man in the Middle“ und „Cache Poisoning“ stoppen

Mit DNSSEC will VeriSign die .com und .net Infrastruktur des Internet stärken und unanfällig für Man-in-the-Middle-Attacken und andere Angriffsformen machen.

Gemeinsam mit Registraren, der ICANN und der Internet-Community arbeitet VeriSign an einer Verbesserung der Sicherheit im Internet. Die DNS Security Extensions (DNSSEC) sollen für die .com und .net Top Level Domains (TLD) das Internet Domain Name System (DNS) gegen „Man in the Middle“ und „Cache Poisoning“-Angriffen schützen.

Durch digitales Signieren der DNS-Informationen wird bestätigt, dass die Daten vom angegebenen Absender stammen und unverändert übermittelt worden sind. Per DNSSEC läßt sich auch erkennen, dass ein Domain-Name nicht existiert. Dadurch werden DNS-Abfragen und -Antworten vor Eingriffen geschützt, mit denen Internet-Nutzer auf Phishing - und Pharming -Sites umgeleitet werden könnten. Ebenso wird die DNS-Kommunikation gegen „Man in the Middle“-Angriffe geschützt, bei denen Angreifer die Kommunikation zwischen zwei Systemen mitlesen und manipulieren könnten.

DNSSEC für .com, .net und bald .edu

VeriSign behandelt die sorgfältige und methodische Einführung von DNSSEC mit höchster Priorität und arbeitet derzeit an der DNSSEC Einführung in der .edu TLD zusammen mit EDUCAUSE und dem Department of Commerce (DoC). VeriSign stützt sich dabei auf die Erkenntnisse aus der Zusammenarbeit mit EDUCAUSE und die Erfahrungen aus ersten DNSSEC-Implementierungen in der Branche. Beginnend mit einer Implementierung in kleinerem Maßstab und mit einer schrittweisen Umsetzung erwartet VeriSign den Abschluss der DNSSEC-Implementierung auf .net und .com im ersten Quartal 2011.

„VeriSign hat die DNSSEC Idee schon in den frühen 1990er Jahren mit vorangetrieben und nun ist die Zeit reif für die Einführung bei .com und .net“, sagt Ken Silva, CTO von VeriSign. „Die erfolgreiche Durchführung von DNSSEC wird das gesamte Internet System einbeziehen, von Registraren über Internet-Anbieter bis hin zu Browser-Entwicklern. Da der zuverlässige Betrieb von .com und .net rund um die Welt von entscheidender Bedeutung ist, müssen wir ein vorsichtiges und geordnetes Vorgehen wählen. VeriSign wird Registraren und Internet-Anbietern helfen, bei der Umsetzung den jeweils günstigsten Weg zu finden.“

„Wir freuen uns bei der Einführung dieses wichtigen Elements für die Internet-Sicherheit über die Zusammenarbeit mit VeriSign und dem US Department of Commerce“, sagt Greg Jackson, Vice President für Strategie-und Analyse für EDUCAUSE, der Verband für Informationstechnologie an US Hochschulen. „Die Hochschulen sind zunehmend abhängig von vertrauenswürdigen und zuverlässigen digitalen Kommunikation für die Lehre, Forschung und das Netzwerken. Die Einführung von DNSSEC in der .edu TLD ist ein wichtiger Schritt für uns und für das Internet.“

VeriSign arbeitet eng mit Domain-Registraren und Internet-Service-Providern zusammen, um diese bei der DNSSEC Einführung zu unterstützen. In diesem Monat startete VeriSign eine Reihe von technischen „Boot Camps“ für Registrare, ISPs und größere Registranten, um sie mit DNSSEC vertraut zu machen und ihnen die notwendigen Hilfsmittel an die Hand zu geben. VeriSign stellt auch ein Interoperability Lab in seiner Forschungs-Infrastruktur bereit, damit Anbieter die Interoperabilität ihrer Geräte mit DNSSEC vorab überprüfen können. VeriSign lädt Hersteller von Computer- und Netzwerk-Equipment ein, ihre Geräte bei VerSign in der Testumgebung zu prüfen während DNSSEC in den .com und .net TLDs eingeführt wird.

„DNSSEC ist ein wichtiger Schritt für die Internet-Sicherheit, aber kein Allheilmittel“, sagt Silva. „DNSSEC löst viele der häufigsten Bedrohungen für die Sicherheit im Internet nicht. Deshalb sind auch andere Schutzmaßnahmen wie Extended Validation SSL -Zertifikate und Zwei-Faktor- Authentifizierung so wichtig, um das Internet sicherer für alle zu gestalten.“