Das BSI hat eine Studie zu Internetzugangsroutern veröffentlicht, in der der Umgang dieser Heimrouter (z.B. FritzBox) mit DNSSEC signierten Domains untersucht wurde. Die ersten Auswertungen zu der Studie wurden bereits auf dem öffentlichen DNSSEC Testbed-Meeting der DENIC eG in einem Vortrag präsentiert und zeigten ein durchwachsenes Bild.
Zumindest für viele der aktuelle Heimrouter soll ist Umgang auch mit signierten Nameserverantworten möglich, d.h. es kommt zu keiner Beeinträchtigung des Internetzugangs. Wirklich unterstützen aber nur sehr wenige Geräte DNSSEC so das der Vorteil dieser Technologie von dem Heimrouternutzer auch wirklich genutzt werden kann. ein.
Bei der Einführung von DNSSEC in Schweden wurden Probleme im Zusammenhang mit den dort an privaten Internetanschlüssen eingesetzten Internetzugangsroutern beobachtet, die in der Folge im Rahmen von Studien sowohl in Schweden als auch Großbritannien im Jahr 2008 näher untersucht wurden. Ergebnis dieser Studien war, dass die in diesen Ländern üblichen Router DNSSEC häufig noch nicht ausreichend unterstützt haben.
Diese Erfahrungen wurden zum Anlass genommen, die Situation in Deutschland zu untersuchen.
[…]Ein Ergebnis der Studie ist, dass insbesondere im Auslieferungszustand der getesteten Geräte eine Kompatibilität mit DNSSEC in vielen Fällen nur eingeschränkt besteht. Aufgrund der Rückwärtskompatibilität von DNSSEC ist jedoch eine weitere Nutzung der getesteten Geräte auch nach Einführung von DNSSEC in allen Fällen möglich. Unter Umständen kann der Endanwender jedoch nicht vollumfänglich von der durch DNSSEC gebotenen verbesserten Sicherheit profitieren.
Zitat aus: BSI-Studie, „DNSSEC-Unterstützung durch Heimrouter“, Seite 5
www.bsi.bund.de
Die Studie können Sie online abrufen unter: https://www.bsi.bund.de/cae/servlet/contentblob/995592/publicationFile/63661/DNSSEC_pdf.pdf