USA vil sikre internettets rygrad

Et forslag om at sikre internettets rodservere med protokollen DNSSEC er under behandling hos de amerikanske myndigheder. Forslaget skal sætte en stopper for de sårbarheder, der truer det nuværende DNS-system.

Den mest radikale ændring af internettets grundstruktur siden den nuværende DNS-protokol kom i brug. Sådan beskriver de amerikanske myndigheder et forslag om at indføre den moderne og langt sikrere protokol DNSSEC på rodserverne i de amerikansk-styrede topleveldomæner.

Dermed kan de vigtigste og mest brugte domæner på internettet være på vej mod en sikrere tilværelse med krypteret DNS, skriver Infoworld.com. DNS-systemet er internettets telefonbog, der oversætter domænenavne til IP-adresser og sender besøgende videre til rette server.

Forslaget om DNSSEC er stillet og sendt til behandling på baggrund af det gabende hul i navneserversystemet, som sikkerhedsekspertern Dan Kaminsky i juli offentliggjorde. Hackere havde med få midler mulighed for at viderestille besøgende til forkerte domæner, hvilket blandt andet ville give rig mulighed for massive phishing-angreb. Hullet er nu lappet med en patch, men jagten er gået ind på en mere permanent løsning.

I dag bruger enkelte lande i verden DNSSEC-protokollen, blandt andet Sverige. I Danmark har organisationen DotDK varslet, at dk-domænet også skal sikres med DNSSEC, hvis DotDK som planlagt overtager administrationen af det danske topleveldomæne 1. februar 2009.

På grund af internettets historie, er USA en afgørende del af internettets DNS-administration. Organisationen ICANN, som administrerer de vigtigste topleveldomæner, er således amerikansk og refererer til USA's regering.

Når en ændring af internettets absolutte midtpunkt, rod-serverne for DNS-protokollen, skal gennemføres, sker det via først ICANN, dernæst en afdeling hos de amerikanske tele-myndigheder og til sidst Verisign, et privat amerikansk firma. Denne konstruktion har været under kritik fra andre af verdens lande, der ikke er tilfredse med USA's helt dominerende rolle.

Hvis navneserverne bliver krypterede med DNSSEC, kan hierarkiet komme til diskussion igen. For eksempel skal placeringen af nøglerne til krypteringen afklares. ICANN har foreslået, at nøglerne havner hos dem, mens Verisign mener, at det bedste ville være en løsning, hvor nøglerne deles mellem flere parter, heriblandt Verisign selv.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Ørmen

Flere ccTLD'er holder igen med at implementere DNSSEC i og med at rod serverne ikke er signeret, da hele kæden af DNS servere skal være signeret før DNSSEC giver rigtig god mening.

Når rod serverne bliver signeret forventer jeg derfor at mange TLD følger efter Sverige's eksempel.

.SE har et seminar d. 20/10 om DNSSEC hvor flere end 20 ccTLD har tilmeldt sig for at høre mere om deres erfaringer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere