ICANN

Der »Key Signing Key rollover« für die Root Zone des Domain Name Systems verlief vergangene Woche problemlos

Aufatmen bei ICANN: der ursprünglich bereits für 2017 geplante »Key Signing Key (KSK) rollover« ist letzte Woche praktisch ohne Störungen verlaufen. Und bis zur nächsten Änderung dürften nicht wieder acht Jahre vergehen.

Pünktlich am 11. Oktober 2018 um 16:00 Uhr (UTC), mit der Veröffentlichung der Root Zone mit der Seriennummer »2018101100«, vollzog die Internet-Verwaltung einen Schritt, bei dem einige den Zusammenbruch des Domain Name Systems und damit des Internets befürchteten. Konkret ging es um den Schlüssel, mit dem die Root Zone signiert wird; er war seit erstmaliger Nutzung im Jahr 2010 nicht geändert worden. Um das seither gestiegene Risiko von erfolgreichen Angriffen zu reduzieren, hatte ICANN beschlossen, den Schlüssel zu ändern, und dafür ursprünglich den 11. Oktober 2017 anvisiert. Allerdings musste der Termin kurzfristig verlegt werden, nachdem bekannt wurde, dass zahlreiche Internet Service Provider auf eine Änderung nicht vorbereitet waren; dies hätte zur Folge haben können, dass Millionen von DNSSEC-signierten Domain-Namen nicht mehr erreichbar gewesen wären. Daher wurde im September 2017 beschlossen, den »KSK rollover« verschieben. Doch auch am 11. Oktober 2018 waren solche Ausfälle nicht gänzlich ausgeschlossen.

Umso erleichterter meldete ICANN am 15. Oktober 2018, dass der erste »KSK rollover« in der Geschichte erfolgreich abgeschlossen wurde. Nach Angaben von ICANN seien lediglich minimale Unterbrechungen festgestellt worden; es gäbe offensichtlich keine nennenswerte Anzahl von Internetnutzern, die beharrlich und negativ von der Änderung betroffen gewesen wären. Auch nach 60 Stunden gäbe es nur sehr wenige Berichte über Problemfälle. Das Online-Magazin heise.de berichtet, dass die Betreiber der großen öffentlichen DNS-Resolver wie zum Beispiel Google oder Quad9 durchweg »keine Probleme« gemeldet hätten. Erwähnt wird lediglich ein Administrator, der einen PowerDNS-Resolver einsetzt und den Schlüsselwechsel verschlafen hatte. Daraufhin lieferte sein Resolver plötzlich statt DNS-Antworten nur noch ServFail-Meldungen; spätestens nach einem Ubuntu-Update hatte jedoch auch er sein Problem gelöst. Wer gleichwohl noch Probleme hat, für den ICANN einen einfachen Rat:

turn off DNSSEC validation, install the new key, and reenable DNSSEC.

Danach sollten auch diese Nutzer wieder uneingeschränkten Zugriff auf das Domain Name System haben.

Für die Zukunft kündigte ICANN bereits die nächsten Schlüsseländerung an, wobei es bis zum nächsten Mal nicht wieder acht Jahre dauern soll.

This successful exercise of the infrastructure necessary to roll the root zone’s key has demonstrated it is possible to update the key globally,

merkte ICANN-CTO David Conrad an.

It also provided important insights that will help us with future key rolls.

Konkrete Termine stehen dafür aber noch nicht fest.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top