RPKI

Resource Public Key Infrastructure — ein kryptographisches Framework, das validiert, wer IP-Adressblöcke im Internet besitzt und ankündigt. RPKI nutzt digitale Zertifikate, um IP-Präfixe an autonome Systeme (ASNs) zu binden und verhindert BGP-Hijacks, bei denen ein Angreifer einen fremden IP-Block ankündigt und Datenverkehr abfängt. Hier ist der Deal: BGP, das Routing-Protokoll, das Pakete durchs Internet bewegt, ist grundsätzlich vertrauensbasiert. Jeder kann jeden IP-Block ankündigen, wenn er einen Router kontrolliert. RPKI fügt eine Signatur-Schicht hinzu — eine von regionalen Internet-Registries (RIRs) verwaltete CA-Hierarchie gibt Zertifikate aus, die beweisen „dieses AS ist berechtigt, diesen IP-Bereich anzukündigen." Router mit aktivierter RPKI-Validierung prüfen diese Signaturen und lehnen ungültige Ankündigungen ab. Es ist nicht perfekt — die Adoption ist noch unvollständig, und es verhindert keine Hijacks von autorisierten ASNs — aber es stoppt die offensichtlichen Angriffe. Für Domain-Eigentümer ist RPKI wichtig, weil deine DNS-Infrastruktur im Internet lebt, und Route-Hijacking kann sie offline nehmen. Wenn dein Registrar oder DNS-Host routbare IPs ohne RPKI-Validierung betreibt, ist er exponiert. Die meisten seriösen Betreiber nutzen es jetzt; einige Bulletproof-Hoster überspringen es ganz. Es lohnt sich, deinen Provider zu fragen.