ICANN: Schlüsselupdate für DNSSEC verschoben

Eigentlich wollte die ICANN am 11.Oktober 2017 einen sogenannten KSK Rollover für die Root Zone des Domain Names Systems (DNS) ausführen. Ein KSK Rollover bedeutet, dass ein neues Schlüsselpaar erzeugt und der öffentliche Teil davon verteilt werden muss.

Dies ist im Zusammenhang mit DNSSEC (Domain Name System Security Extension) aus Sicherheitsgründen notwendig, so ähnlich wie man auch zuhause ab und an mal die Passwörter ändern sollte, heißt es in einem ICANN-Dokument.

Es liegt in der Natur der Sache, dass an diesem Prozess sehr viele Organisationen beteiligt werden müssen, eigentlich alle, die validierende Resolverdienste einsetzen. Internet Service Provider gehören dazu, ebenso Administratoren von Firmennetzwerken, Softwareentwickler, Systemintegratoren, Distributoren. Ziel ist, die Vertrauenswürdigkeit der Daten in der Root Zone sicherzustellen.

Dies ist der erste Austausch der Schlüssel seit der Einführung des KSK-Verfahrens 2010. Mit dem KSK-Schlüssel (KSK steht für Key Signing Key) werden die wichtigen Zone Signing Keys signiert, mit denen wiederum mittels DNSSEC die Root Zone des globalen Domain Name Systems des Internets signiert werden.

Wenn die Verteilung des öffentlichen Teils des KSK-Schlüssels nicht reibungslos von statten geht und Server, die Domainnamen zu IP-Adressen auflösen die neuen Schlüssel nicht verwenden, können keine DNSSEC-abgesicherten Antworten geliefert werden. Das Ergebnis der  Namensauflösung ist dann gegebenenfalls nicht valide und ist damit ungültig.

Ende September meldete die ICANN, dass der Wechsel der Schlüssel verschoben werde.

Als Grund hieß es, dass ein größerer Teil der betroffenen Systeme noch nicht bereit sei. Die Auswertung aktueller Daten, die man mit Hilfe eines erst kürzlich eingeführten DNS-Protokoll-Features gewonnen hätten, legten dies nahe. Mit dem neuen Feature können namensauflösende Server den Rootzone-Servern zurückmelden, für welche Schlüssel sie konfiguriert sind.

Offenbar gibt es mit einem Programm, das auf vielen Servern eingesetzt wird, Probleme mit der Konfiguration, da sich die Schlüssel nicht richtig aktualisieren lassen. Die Ursache wird noch untersucht.

Das Risiko nicht funktionierender Namensauflösung, wenn DNSSEC eingesetzt wird, wolle man nicht eingehen.

Ein neues Datum gibt es noch nicht.

Kommentar verfassen