News 21.02.2012, 10:10 Uhr

In Zürich wird das Web «verschlüsselt»

Switch und das Forschungsinstitut Packet Clearing House haben in Zürich einen DNSSEC-Server in Betrieb genommen. Dieser sorgt weltweit für sichere Internetabfragen.
Seit dem vergangenen Montag arbeitet in Zürich ein neuer DNSSEC-Server. Es ist der dritte Standort nach Singapur und San José, der vom gemeinnützigen Forschungsinstitut Packet Clearing House (PCH) in Betrieb genommen wurde. Am Betrieb des Zürcher Servers beteiligt ist auch die hiesige Domainregistrierungsstelle Switch. An den drei Serverstandorten werden kryptografische Schlüssel aufbewahrt, die zur DNSSEC-Verschlüsselung benötigt werden.
DNSSEC-Server sorgen für mehr Sicherheit im Web, indem sie sicherstellen, dass der Besucher auch auf der Webseite landet, die er in die Adresszeile eingegeben hat. Ruft ein Anwender eine Webadresse im Browser auf, wird im Hintergrund eine DNS-Anfrage (Domain Name System) an einen DNS-Server verschickt. Diese Server schauen im Katalog nach, welche IP-Adresse zu der aufgerufenen Webadresse passt, und schicken die Antwort an den Client zurück. DNSSEC sorgt dafür, dass diese Antwort mit einer Signatur in Form eines geheimen Schlüssels versehen wird, der dann durch Herbeiziehen des öffentlichen Schlüssels validiert wird, womit die Echtheit der Antwort gewährleistet werden kann.
Am Projekt beteiligt sind bislang einige kleinere Länder wie etwa Montserrat, die Salomonen und Tanzania. Abfragen von Webseiten, die auf deren Länderdomains enden, profitieren also von dem Plus an Sicherheit durch DNSSEC.
Bill Woodcock, Direktor der Firma PCH, ist eigens aus San Francicso nach Zürich gereist, um den dritten DNSSEC-Standort einzuweihen. Den geheimen kryptografischen Schlüssel für die Verschlüsselung trug er in einem elektronischen Sicherheitskoffer. «Die Einweihung des Standorts Zürich ist ein wichtiger Schritt für das weltweite DNSSEC. Durch das Hosting der geheimen Schlüssel in der Schweiz und Singapur, beides neutrale, vertrauensvolle Länder, haben wir nun die geopolitische Diversität, die wir uns gewünscht haben», so Woodcock.



Kommentare
Avatar
Hannes Weber
22.02.2012
Die eigentlichen Webseiten werden nicht verschlüsselt, aber die DNS-Antworten der Server schon - So versteh ich das. Wo ein Schlüssel ist, muss ja auch irgendwas verschlüsselt werden, oder nicht? :)

Avatar
Xpert
22.02.2012
Die eigentlichen Webseiten werden nicht verschlüsselt, aber die DNS-Antworten der Server schon - So versteh ich das. Wo ein Schlüssel ist, muss ja auch irgendwas verschlüsselt werden, oder nicht? :) Ne, da geht es mehr um eine digitale Signatur und nicht um eine Verschlüsselung. Würde der DNS Traffic komplett verschlüsselt wäre er unlesbar und würde gar nie ankommen...

Avatar
Hannes Weber
22.02.2012
Du hast recht - habe den Text entsprechend angepasst. Es heisst jetzt da: "DNSSEC sorgt dafür, dass diese Antwort mit einer Signatur in Form eines geheimen Schlüssels versehen wird, der dann durch Herbeiziehen des öffentlichen Schlüssels validiert wird, womit die Echtheit der Antwort gewährleistet werden kann."