Das Debian-Projekt hat bekannt gegeben, dass die projekteigene DNS-Infrastruktur schrittweise auf DNSSEC umgestellt wird. Damit werden zukünftig die DNS-Antworten für debian.com und andere digital signiert, um ihre Echtheit zu gewährleisten.

Das Domain Name System (DNS) ist eines der Kern-Bestandteile des Internet. Das initiale Design des DNS ist aber anfällig gegen eine Reihe von Angriffen wie zum Beispiel Cache-Poisonings, also dem Fälschen von DNS-Antworten. Um diesem Problem entgegenzuwirken, wurde DNSSEC eingeführt (DNSSEC in der Wikipedia, siehe auch dnssec.net). DNSSEC ist eine Erweiterung des DNS, mit dessen Hilfe Einträge von DNS-Servern signiert und damit verifiziert werden können. Wegen der technischen Herausforderungen und dem damit verbundenen Aufwand verläuft die Einführung von DNSSEC bisher aber eher schleppend, die meisten Top Level Domains (TLDs) oder auch Domains großer Projekte oder Firmen sind bisher noch nicht signiert.

Das Debian-Projekt hat sich nun dazu entschlossen, DNSSEC schrittweise für alle Projekt-Domains einzuführen und damit verifizierbare DNS-Antworten zu ermöglichen. Zuerst werden debian.net und debian.com signiert, aufbauend auf allen dabei gesammelten Erfahrungen werden dann die weiteren Domains und Subdomains signiert.

Eines der Probleme beim Einsatz von DNSSEC ist aber bisher noch, dass nicht alle TLDs der Debian-Domains die Debian-Keys signieren können. Um diesem Problem zu entgehen wird Debian die DNSSEC-Schlüssel via DNSSEC Look-aside Validation Registry des ISC veröffentlichen - auf diesem Weg ist eine Validierung der Debian-Schlüssel auch dann möglich, wenn deren TLDs noch nicht auf DNSSEC umgestellt sind.Die Umstellung des Debian-Projekts auf DNSSEC macht den Debian-Teil des Internets ein wenig sicherer. Außerdem werden Erfahrungen, die bei der Umstellung eines so großen, internationalen und viele TLDs überspannenden Projekts gewonnen werden für andere Projekte ähnlicher Größenordnung sehr wertvoll sein.