Die Internet-Verwaltung ICANN hat angekündigt, dass der nächste »Key Signing Key (KSK) rollover« am 11. Oktober 2026 stattfinden wird. Dieser Prozess ist ein wichtiger Schritt zur Aufrechterhaltung der langfristigen Sicherheit, Stabilität und Ausfallsicherheit des DNS.
»First Root KSK Rollover Successfully Completed« – diese Botschaft liess ICANN am 15. Oktober 2018 verkünden und gab damit erleichtert zu verstehen, dass ein Schritt, bei dem der Zusammenbruch des Domain Name Systems (DNS) nicht ausgeschlossen werden konnte, zum ersten Mal erfolgreich vollzogen worden war. Der KSK ist ein kryptografischer Schlüssel, der zur Überprüfung der Legitimität von DNS-Antworten und deren Unversehrtheit während der Übertragung dient. Domain Name System Security Extensions (DNSSEC) tragen dazu bei, dass Internetnutzer beim Zugriff auf Websites und Online-Dienste authentische DNS-Daten erhalten. Der Rollover-Prozess ersetzt dabei den aktuellen KSK durch einen neuen, um die hohe kryptografische Sicherheit des DNS aufrechtzuerhalten; er war seit seiner Einrichtung im Jahr 2010 nicht geändert worden. Um das seither gestiegene Risiko von erfolgreichen Angriffen zu reduzieren, hatte ICANN beschlossen, den Schlüssel zu ändern. Ganz reibungslos verlief die Änderung damals nicht; das meldete zumindest die .com-Registry VeriSign, zugleich Betreiber der beiden A- und J-Root Server. So belief sich die Zahl der Anfragen nach den DNSKEY-Daten in den Tagen vor dem Rollover auf rund 15 Millionen täglich; in den Tagen danach waren es 75 Millionen, und bis zum 21. März 2019 sogar 1,15 Milliarden am Tag, also der 75fache Wert. Nach endgültiger Löschung des alten Schlüssels am 22. März 2019 war die Zahl der Anfragen aber wieder erheblich gesunken.
Am 20. Mai 2026 gab ICANN nun bekannt, dass der nächste „KSK rollover“ bevorsteht und für den 11. Oktober 2026 angesetzt ist. Ganz überraschend kommt die Ankündigung nicht. Der Rollover-Prozess folgt einem in mehreren Phasen verlaufenden Implementierungszeitplan, der 2024 begann und 2027 abgeschlossen sein wird. Während dieses Zeitraums bleiben sowohl der aktuelle als auch der neue KSK gültig, wodurch rekursive Resolver – die von Internetdienstanbietern und anderen Unternehmen, die DNS-Informationen im Auftrag von Benutzern abrufen und überprüfen – Zeit erhalten, den neuen Schlüssel zu übernehmen, bevor der neue KSK im Oktober 2026 mit der Signierung der Root-Zone beginnt und der alte Schlüssel im Januar 2027 außer Betrieb genommen wird. Der Oktober-Termin ist dabei ein besonderer Meilenstein, weil der neue Schlüssel erstmals zur Erstellung von Signaturen verwendet wird. Kim Davies, Vice President, Internet Assigned Numbers Authority (IANA) Services und President of Public Technical Identifiers (PTI), sagte:
The trust anchor rollover is a carefully coordinated process that helps safeguard the integrity of the DNS. While most Internet users will not notice any change, operators of DNS software should confirm that their systems are properly configured to trust the new key ahead of the rollover.
Da jegliche Änderungen die Sicherheit und Stabilität des DNS und damit die Kernaufgabe von ICANN betreffen, wird jeder „KSK rollover“ weltweit mit Argusaugen verfolgt.
Sind Netzbetreiber nicht auf den Schlüsselwechsel vorbereitet und haben sie DNSSEC aktiviert, riskieren sie erhebliche finanzielle Einbußen. Wurde der »trust anchor« nicht aktualisiert, um den neuen Schlüssel zu berücksichtigen, behandeln DNS-Resolver Antworten, die mit dem neuen Schlüssel signiert sind, als manipuliert und verwerfen diese Antworten. Dies führt dazu, dass Endnutzer bei jeder Abfrage eines DomainNamens eine Fehlermeldung erhalten, was zu Supportanrufen von Kunden führen könnte. ICANN hat eine eigene Mailingliste eingerichtet, über die man sich weiter informieren kann.