Die Internet-Verwaltung ICANN hat beschlossen, den Hauptschlüssel für die Signierung der Root Zone zu wechseln: trotz Sicherheitsbedenken soll der ursprünglich für 2017 geplante und seinerzeit verschobene »Key Signing Key (KSK) rollover« nun am 11. Oktober 2018 stattfinden.
Der historische Schritt für das Domain Name System (DNS) wurde anlässlich einer Sitzung des Board of Directors am 16. September 2018 in Brüssel beschlossen. Der bisher genutzte Schlüssel ist zugleich der erste, mit dem die Root Zone signiert wurde; er ist seit 2010 in Betrieb. Um das Risiko eines erfolgreichen Angriffs auf die Root Zone zu reduzieren, soll der Schlüssel nun geändert werden. Bei dieser Änderung des kryptographischen Schlüssels wird ein neues Schlüsselpaar (bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel) erzeugt und die neue öffentliche Komponente an die DNSSEC-validierenden Resolver verteilt (näher dazu in einem früheren Artikel von uns). Dazu zählen vor allem Internet Service Provider (ISP) und Netzwerkadministratoren. Dieser »root KSK« signiert wiederum die »Zone Signing Keys« (ZSK) und steht damit an der Spitze der Hierarchie der Root Zone Domain Name System Security Extensions (DNSSEC).
This is an important move and we have an obligation to ensure that it happens in furtherance of ICANN’s mission, which is to ensure a secure, stable and resilient DNS,
merkte Cherine Chalaby, Vorsitzender des ICANN-Boards, an.
Ganz ohne Risiken läuft die Änderung nicht ab. Bereits im vergangenen Jahr stellte ICANN fest, dass zahlreiche ISPs auf eine Änderung nicht vorbereitet waren; dies hätte zur Folge haben können, dass Millionen von DNSSEC-signierten Domain-Namen nicht mehr erreichbar gewesen wären. Daher wurde im September 2017 beschlossen, den »KSK rollover« zu verschieben. Doch auch ein Jahr später sind solche Ausfälle nicht völlig ausgeschlossen.
There is no way of completely assuring that every network operator will have their ‚resolvers‘ properly configured,
räumt auch Chalaby ein. Eben dieses Risiko dürfte ein Grund gewesen sein, warum der »KSK rollover« nicht einstimmig beschlossen wurde. Bedenken hatten unter anderem Avri Doria aus dem Board Technical Committee. Sie kritisierte, dass es keine externe Fachprüfung der Risiken gegeben hat; daher drohten ICANN nun erhebliche Haftungsansprüche. Ihre Bedenken teilen offenbar auch andere Borad-Mitglieder, wie etwa die .com- und .net-Registry VeriSign, das At-Large Advisory Committee, die Business Constituency und die Registries Stakeholder Group.
Sollte Doria Recht behalten, wären die Auswirkungen am 11. Oktober 2018 sehr rasch spürbar. Für alle Betroffenen hat ICANN bereits jetzt einen einfachen Rat: »turn off DNSSEC validation, install the new key, and reenable DNSSEC«. Danach sollten auch diese Nutzer wieder einen uneingeschränkten Zugriff auf das Domain Name System haben.