Die Firma Artemis aus England plant Domainnamen im .secure Top Level Domain Bereich zu vergeben die strengen Sicherheitsregeln entsprechen müssen. Damit will man eine sichere Zone im Internet schaffen wo zum Beispiel Gesundheitsdaten übermittelt, oder sicher E-Banking betreiben werden kann.
Bei ICANN läuft zur Zeit ein Prozess zur Vergabe von neuen TLD, und Artemis will sich nun die .secure TLD ersteigern. Die Artemis Internet Inc. ist eine Tochtergesellschaft der NCC Group plc die schon jetzt ein grosser Player im Sicherheitsmarkt ist, und schon über 9 Mio an Kapital in Artemis investiert hat. Zu ihren Kunden gehören eine lange Liste von sehr bekannten Firmen.
Wie soll .secure Funktionieren?
Zuerst muss man sich Verifizieren lassen bevor man überhaupt eine solche Domain bekommen kann. Dazu werden Handelsregistereinträge überprüft, und Markenrechtliche Abklärungen gemacht. Auch sollen die Angaben wie Adresse und andere Anmeldedaten von Mitarbeitern von Artemis genau überprüft werden.
Für den Betrieb der Domain werden dann gewisse Minimumstandards festgeschrieben. Es kann sich zwar noch ändern, aber verlangt werden u.a. DNSSEC Signaturen in allen Zonen, TLS für HTTP Sessions und DKIM und opportunistisches TLS für SMTP.
Die Vorgaben zur Vergabe von .secure TLD sollen ständig und nach Zufallprinzip überprüft werden, so das schwarze Schafe schnell entdeckt werden. Auch sollen Reports und Abuse Meldungen schnell überprüft werden.
Wer will kann sein Interesse an einer Domain schon mal Bekunden. Der Preis für diesen Service steht noch nicht fest, dürfte aber viel höher als bei "normalen" Domains sein. Auch besitzt Artemis die TLD Domain gar nicht. Die Vergabe ist wegen eines Sicherheitsproblems! zur Zeit gestoppt, wann es weitergeht steht noch nicht fest, und ob Artemis den Zuschlag kriegt auch nicht.
Ob dieses Konzept einer Gated Community Erfolg hat, wage ich ein wenig zu Bezweifeln. Eine einzige Firma als Torwächter für ein solches Szenario mit privatem Internet einzusetzen wird sicher nicht allen Gefallen. Und ob solche Domains die Sicherheit wirklich erhöhen ist auch fraglich. Einen sicherern Service anzubieten hat wenig mit der Domain zu tun als mit der allgemeinen Sicherheitskultur. Wer wirklich guten Service bietet, benutzt die Sicherheitstechniken die als Minimum definiert sind sowieso schon. Man muss eher auf Applikationslevel oder bei Server Software auf Sicherheitsprobleme achten.
Und das es in den .secure Domains keine Phishing und Malware Seiten gibt ist sicher gut, aber das ist auch kein Argument für eine Firma sich eine solche Domain zuzulegen. Im Gegenteil, es wiegt User in einer falschen Sicherheit die noch viel Gefährlicher sein kann falls dann doch mal was passiert. Eine .secure Domain haltet keinen ab in einem Spam Mail auf einen gefälschten Link zu klicken (www.bank.secure)
Auch wiederspricht es dem Grundgedanken an ein freies Internet das ein solches Sicherheits-Internet etabliert wird. Auch werden Hackern geradezu herausgefordert die Systeme zu "testen".
Ein weiterer Faktor ist das Geld und der Aufwand. Wie viel wird dieses Service kosten? Wie gross ist der Aufwand wenn plötzlich alle eine solche Domain wollen? Und können sie dann immer noch alle kontrollieren? Ist es den Firmen überhaupt wert solche Massnahmen einzuführen, oder macht sich das eh nicht bezahlt?
Aber bis die Domains registriert werden können dauert es noch eine Weile. Ob das Konzept bis dahin auch wirklich durchsetzen kann wird sich zeigen.
Viel Spass!
Keine Kommentare:
Kommentar veröffentlichen