DNSSEC vs. DNS-Sperren
Nachdem ich vorhin den heise Artikel über DNSSEC gelesen hatte, ging mir durch den Kopf, wie sich DNSSEC auf die geplanten DNS-Sperren der Bundesregierung auswirken würde. Immerhin forciert die ICANN gerade mal wieder das Thema und drängt darauf, die Root-Zone noch in 2009 zu sichern.
Ich stellte daraufhin diese Frage über twitter und bat Johnny Hauesler vom Spreeblick sie weiterzuverbreiten, was er freundlicherweise auch tat. Nach nicht einmal einer Stunde bekam ich schon meine Antwort (Danke an spreeblick und beanieboi)
Zitat:
Allerdings stützt sich auch das vom Bundesfamilienministerium auf den Weg gebrachte Gesetz für Internetsperren kinderpornographischer Websites auf DNS-Manipulationen:
Wer eine Seite ansurfen möchte, die auf der Sperrliste steht, erhält die IP-Adresse des (voraussichtlich beim BKA beheimateten) Stoppseitenservers und nicht vom ursprünglich vorgesehenen Server.
Bei flächendeckendem Einsatz von DNSSEC und Abstimmung der Software auf den Clientrechnern wird der Surfer entweder eine Fehlermeldung erhalten oder ( was wahrscheinlicher ist ) sein Browser wird mehrere Nameserver (,,Auskünfte”) anfragen, bis er eine Antwort mit gültiger Signatur erhält.
Die Folge der Einführung von DNSSEC ist eine weitgehende Wirkungslosigkeit der angedachten Sperren.
Mein Fazit: #fail für Frau vdL
Andererseits ist das vielleicht garnicht so schlecht. So schnell wie sie kam, verschwindet die Sperre auch wieder (hoffentlich).
Naja, wir werden sehen.
~~ sjuerges
Update 1: Korrekturen
[…] Linktipp: Sebastian Jürges (/var/www/juerges.net/) – DNSSEC vs. DNS-Sperren […]
[…] /var/www/juerges.net/: DNSSEC vs. DNS-Sperren […]
Leider ist es nicht ganz so einfach. Die Überprüfung erfolgt typischerweise durch sogenannte Recursive bzw. Cache-Only Name Server, da davon ausgegangen wird, dass man diesen Servern “vertrauen” kann. Das sind jedoch die Server, die vom ISP gestellt werden und die von Frau v. d. Leyen als Ziel für ihre Zensurkampagne ausgewählt wurden.
Man kann natürlich immer manuell die Prüfung direkt am eigenen PC aktivieren oder einfach einen vertrauenswürdigen Recursive Name Server verwenden. Ersteres garantiert jedoch nicht, dass man die Zensur wirklich umgehen kann, sondern nur, dass man im Falle einer Umleitung/Stoppseite einen DNS-Fehler angezeigt bekommt. Zweiteres kann man bereits jetzt zur Umgehung der in Deutschland eingeführten Zensurmaßnahmen verwenden.
Sollte sich die Unterdrückung der Grundrechte via DNS-Sperren weiter verbreiten, sehe ich Hoffnung, dass viele Programme künftig automatisch die vom Recursive Name Server zurückgelieferten Ergebnisse überprüfen.
Stimmt. Aber ich glaube, das ist mit “Abstimmung der Software auf den Clientrechnern” gemeint.