Die Internet-Verwaltung ICANN hat mit der Vorbereitung für den Tausch des DNSSEC-Schlüssels begonnen: ab Oktober 2016 startet die Generierung des neuen »key signing key« (KSK). Abgeschlossen sein wird das gesamte Verfahren jedoch erst im März 2018.
Seit 2010 arbeiten die 13 Root-Nameserver des Domain Name Systems mit den »Domain Name System Security Extensions« (DNSSEC). Dabei handelt es sich um eine Reihe von Internetstandards, die das Domain Name System um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität erweitern. DNSSEC hilft insbesondere sicherzustellen, dass zu einer angefragten Domain die hinterlegte IP-Adresse zurückgeliefert wird. Dazu überprüft DNSSEC die Daten anhand von kryptografisch gesicherten Signaturen, die über die zu schützenden Daten errechnet und zusammen mit den Daten an den Client übertragen werden. Um digitale Signaturen zu erstellen, wird ein Schlüsselpaar generiert, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Teil ist dabei geheim und nur dem Besitzer bekannt. Der öffentliche Teil wird im DNS publiziert, und mit ihm kann eine Unterschrift, die mit dem privaten Schlüssel signiert wurde, überprüft und validiert werden. Die öffentliche Teil wird nun erstmals ausgetauscht.
Das Verfahren für den Schlüsseltausch ist vergleichsweise komplex und verteilt sich auf acht Phasen. Im ersten Schritt wird am 27. Oktober 2016 der neue »KSK-2017« an der US-Ostküste von ICANN generiert. Im Februar 2017 ist er »operationally ready«, eine Kopie wird sodann im Februar 2017 an die US-Westküste weitergeleitet. Am 11. Juli 2017 erscheint der neue Schlüssel zum ersten Mal in der Root Zone, um am 11. Oktober 2017 ebenfalls zum ersten Mal die Root Zone zu signieren. Dies gilt als einer der heikelsten Zeitpunkte; im schlimmsten Fall lösen DNSSEC-signierte Top Level Domains nicht mehr auf und wären dann folglich nicht mehr erreichbar. Daher wird der alte, »KSK-2010« genannten Schlüssel erst am 22. März 2018 aus der Root Zone entfernt; seine endgültige Löschung erfolgt erst im August 2018. Im Notfall wäre es also möglich, vom »KSK-2017« auf den bisher verwendeten Schlüssel »KSK-2010« zurückzuwechseln.
ICANN-CTO David Conrad betonte, dass jeder, der seine Hardware bereits korrekt konfiguriert hat, nichts weiter tun muss. Allerdings sei DNSSEC noch relativ neu und die neue Software nicht wirklich getestet; daher wolle man die Öffentlichkeit rechtzeitig über die bevorstehenden Änderungen informieren, um sich so darauf einstellen zu können. Dies sei auch ein Grund, weshalb sich das gesamte Verfahren vergleichsweise lange hinziehe. In absoluten Zahlen gibt es aktuell noch wenige Domains, die mit DNSSEC signiert sind; allerdings wird für die Zukunft ein rapider Anstieg erwartet.