Der historische »Key Signing Key (KSK) rollover« aus dem Oktober 2018 verlief offenbar weniger reibungslos als gedacht: wie VeriSign meldet, ist die Zahl bestimmter Root-Server-Anfragen unerwarteter Weise um den Faktor 75 nahezu explodiert.
»First Root KSK Rollover Successfully Completed« – diese frohe Botschaft liess ICANN am 15. Oktober 2018 verkünden und gab damit zu verstehen, dass ein Schritt, bei dem der Zusammenbruch des Domain Name Systems nicht ausgeschlossen werden konnte, erfolgreich vollzogen wurde. Konkret ging es um einen Schlüssel, mit dem die Root Zone signiert wird; er war seit seiner erstmaligen Nutzung im Jahr 2010 nicht geändert worden. Um das seither gestiegene Risiko von erfolgreichen Angriffen zu reduzieren, hatte ICANN beschlossen, den Schlüssel zu ändern, und dafür ursprünglich den 11. Oktober 2017 anvisiert. Dieser Termin musste aber kurzfristig verlegt werden, weil gleich mehrere Internet Service Provider auf eine Änderung nicht vorbereitet waren; dies hätte zur Folge haben können, dass Millionen von DNS-SEC-signierten Domains nicht mehr erreichbar gewesen wären. Daher wurde im September 2017 beschlossen, den »KSK rollover« zu verschieben. Wie ICANN sodann mitteilte, habe es am 11. Oktober 2018 keine nennenswerte Anzahl von Internetnutzern gegeben, die beharrlich und negativ von der Änderung betroffen gewesen wären; selbst nach 60 Stunden gäbe es nur sehr wenige Berichte über Problemfälle.
Doch ganz so reibungslos scheint der »KSK rollover« doch nicht verlaufen zu sein. Das meldet zumindest die .com-Registry VeriSign, zugleich Betreiber der beiden A- und J-Root Server. So belief sich die Zahl der Anfragen nach den DNSKEY-Daten in den Tagen vor dem Rollover auf rund 15 Millionen täglich; in den Tagen danach waren es 75 Millionen, und bis zum 21. März 2019 sogar 1,15 Milliarden am Tag, also der 75fache Wert. Nach Angaben von VeriSign-Ingenieur Duane Wessels steht man erst am Anfang, dieses Phänomen zu verstehen. Wörtlich heisst es im VeriSign-Blog:
it would seem that the presence of the revoked key in the zone triggered some unexpected behavior in a population of validating resolvers.
Anzeichen, dass es zu feindlichen Angriffen gekommen ist, gibt es offenbar bisher nicht. Mit einiger Erleichterung stellt man aber fest, dass seit endgültiger Löschung des alten Schlüssels am 22. März 2019 die Zahl der Anfragen wieder erheblich gesunken ist.
Angesichts dieser Unsicherheiten dürfte sich ein erneuter KSK-Rollover damit vorläufig erledigt haben. Zwar hatte ICANN angekündigt, nicht wieder acht Jahre warten zu wollen. Da jegliche Änderungen jedoch die Sicherheit und Stabilität des DNS und damit die Kernaufgabe von ICANN betreffen, müssen Risiken weitgehend ausgeschlossen werden; die weiteren Prüfungen durch VeriSign werden also mit Spannung erwartet.