Dass Sicherheitsmerkmale niemals ein Bestandteil des Konzepts des Domain Name Systems waren, ist unbestritten und wurde in der Vergangenheit auch mehrfach nachgewiesen. Weiterführender Weblink

Als das zentrale Auskunftssystem des Internets jedoch, musste eine Lösung dafür gefunden werden. Und da das Domain Name System ein globales System ist, musste diese Lösung so konzipiert sein, dass es auf eine breite Akzeptanz stoßen würde. Gerade dieses Kriterium war ein Grund für die langwierige Realisierung von DNSSEC, dessen aktuelle Fassung in den RFCs 4033, 4034, 4035 und 5155 vorliegt.

Theoretisch ist DNSSEC schnell erklärt. Dieses Sicherheitskonzept basiert im Wesentlichen auf digitaler Signierung der DNS Daten und einer hierarischen Vertrauensstellungen der DNS Server untereinander. Damit der Ablauf einer DNSSEC gestützten DNS Anfrage aber möglichst unkompliziert abläuft (Chains of Trust), bedarf es der digitalen Signierung der Root Zone (Anchor of Trust), bei  der die Organisationen ICANN und VeriSign eine wesentliche Rolle spielen.

Und endlich haben diese Organisationen einen konkreten Zeitplan aufgestellt, in dem die mehrstufige Implementierung vorgestellt wird. Demnach laufen bereits interne Tests der ICANN und VeriSign mit der Root Zone seit dem 1. Dezember. Sollten im weiteren Verlauf keine gravierenden Probleme auftreten, ist für die nächsten sechs Monate folgender Zeitplan aufgestellt worden:

• Januar 2010 - Der erste Root Server (Root A) beginnt mit der Verteilung der signierten Zone in Form einer DURZ (deliberately unvalidatable root zone; beabsichtlicht nicht validierbare Root Zone). Diese enthält Schlüssel, die nicht zur Validierung geeignet sind. Damit kann dennoch das Verhalten der Root Server getestet und deren Belastung durch die neue Implementierung protokolliert werden.
• Mai 2010 - Alle Root Server sollten nun diese DURZ enthalten. Nun können die gleichen Testreihen global durchgeführt werden.
• Juni 2010 - Die Ergebnisse der Aufzeichnungen werden ausgewertet und darauf basierend die endgültige Entscheidung zur offiziellen Signierung der Root Zone getroffen.
• Juli 2010 - Wenn alle Ergebnisse zufriedenstellend waren, beginnt am 1. Juli 2010 die Verteilung der Root Zone mit gültigen Schlüsseln für das Domain Name System. Ab dann gilt die Root Zone als offiziell signiert.

Für die Verfolgung wurde extra eine neue Internetpräsenz veröffentlicht, auf der der aktuelle Stand und Änderungen im Zeitplan veröffentlicht werden.

Da DNSSEC unter anderem auf neue Felder im DNS Protokoll baut, muss das bestehende Protokoll erweitert werden. Diese Erweiterung ist als EDNS0 ( Extension Mechanism for DNS Version 0) im RFC 2671 spezifiziert. Zu erwartende Probleme bestehen in der daraus resultierenden Größe von bis zu 4096 Bytes der DNS Daten. Das bisherige DNS Protokoll läuft primär über UDP mit einer Größe von 512 Bytes.

Überschreiten die DNS Daten diese Größe, müssen die Daten fragmentiert werden. Dies erfordert die Kommunikation über das langsamere und mehr Datenverkehr erzeugende Transmission Control Protocol. Je nach Konfiguration oder Fähigkeiten von Firewalls und Routern, wird EDNS0 aber auch gar nicht weitegeleitet. Daraus resultiert, dass mit DNSSEC auch ISPs, Netzbetreiber und lokale Administratoren in die Pflicht genommen werden, ihre Netzinfrastruktur auf EDNS0 vorzubereiten. Nicht zuletzt müssen natürlich auch Betriebssysteme die Unterstützung von DNSSEC und EDNS0 gewährleisten.

Damit nun auch einfache Benutzer überprüfen können, in wie weit ihr lokales System und ihre ISPs auf diese neue Implementierung vorbereitet sind, wurden Testumgebungen eingerichtet, auf die man öffentlich zugreifen kann. Eine davon ist ORACs DNS Reply Size Test Server, wofür ORAC eine kurze aber dennoch verständliche Informationsseite bereitstellt. Für die gleichen Tests kann auch der von RIPE NCC bereitgestellte Testserver verwendet werden.

Windows Nutzer erhalten das benötigte Programm dig im Komplettpaket des Nameserver bind. Dafür ist aber keine Installation des Nameservers erforderlich. Es genügt das Komplettpaket herunterzuladen, es zu entpacken und aus der Windows Konsole heraus das Programm dig.exe mit den gleichen Parametern wie unter einer Linux Umgebung auszuführen.

Ein Plattform unabhängiger Schnelltest kann mit RIPE NCCs kleiner Java Applikation für deren Testumgebung durchgeführt werden.

Anmerkung: Ein Artikel der DNSSEC und EDNS0 genauer erläutert, ist bereits in Arbeit und wird in nächster Zeit auf beta06.de veröffentlicht.