DNSSEC: Schlüsselwechsel in der Root-Zone von ICANN verschoben
Der kryptografische Schlüssel, der das Domain-Name-System weltweit schützt, muss trotz langer Vorbereitung verschoben werden. Andernfalls droht der Ausfall vom Internetdienst für jeden vierten Nutzer.
Das Auswechseln des DNSSEC-Hauptschlüssels sollte bereits am 11. Oktober 2017 planmäßig ausgeführt werden. Der DNSSEC-Hauptschlüssel schützt das Domain-Name-System (DNS) gegen Manipulation und deshalb enorm wichtig. Die Internet Corporation for Assigned Names and Numbers (ICANN) teilte mit, der Tausch wird wahrscheinlich im ersten Quartal 2018 stattfinden. Eventuell ergibt sich eine weitere Verschiebung, damit die ICANN möglichst alle Nutzer einen störungsfreien DNS-Betrieb bieten kann.
Für manche Beobachter kommt dieser Schritt sicherlich unerwartet. Die ICANN verwaltet die obersten DNS-Server (DNS-Root-Zone) und der Schlüsseltausch wurde präzise und von langer Hand vorbereitet. Ein großer Teil der Provider spielen hier nicht mit und der Schlüssel wurde bisher nicht aktualisiert. Hätte der Schlüsseltausch planmäßig am 11. Oktober stattgefunden, könnte der DNS-Dienst für zu viele Internetnutzer jetzt gestört sein, das bedeutet, dass sich einige Webseiten nicht mehr öffnen lassen. Diese Verschiebung will ICANN nutzen, um die Provider anzusprechen, die noch nicht getauscht haben.
Fast 750 Millionen Betroffene
Öffentlich ist seit dem 11. Juli der neue Schlüssel für Jeden (Key Signing Key der Root-Zone) erhältlich. Den aktuellen DNS-Resolver wird den Root-Servern bei üblichen DNS-Anfragen mitgeteilt, welcher Schlüssel genutzt wird und die ICANN wertet die Log-ins der DNS-Root-Server mit diesen Information aus. Nach diesen Ergebnissen ist es möglich, dass der DNS-Dienst weltweit bei jedem vierten Internetnutzer ausfällt, da kein DNS-Resolver seines Providers den aktuellen Root-KSK verwendet. Es wird von 750 Millionen potenziell Betroffenen gesprochen.
Verschiedene Gründe erschweren die Aktualisierung bei einigen Resolverbetreibern. Eine Möglichkeit: Die Software wurde nicht wie erforderlich konfiguriert, obwohl viele DNS-Resolver den neuen Schlüssel automatisch beziehen können. Laut der ICANN macht ein Resolver dies zurzeit nicht und die Ursache ist noch nicht bekannt. Von der ICANN wird der Name vom betroffenen Resolver nicht genannt. Ältere Unboundversionen, die nach dem 11. Juli neu installiert wurden, scheiterten bei der automatischen Aktualisierung. Allerdings ist das Problem in der aktuellen Unboundversion behoben.
Schlüsseltausch – Handreichungen
Der ICANN hat eine Webseite eingerichtet, auf der Betreiber selbst prüfen können, ob Ihr Resolver den neuen Schlüssel verwendet. Falls dies nicht gelingt, ist unter dem Thema DNSSEC für viele gängige Resolver aufgeführt, woran der Schlüsseltausch scheitern und das Problem gelöst werden kann.