Zum Kasten

Gründe für den Schlüsselaustausch

Die Kurzfassung für Eilige lautet: Man startet den Test auf der Webseite https://dnssec.vs.uni-due.de/. Scheitert er, hat sich das Problem erledigt, denn DNSSEC ist dann für die eigene Domain (noch) kein Thema. Wer allerdings bereits eine für DNSSEC ausgelegte IT administriert, sollte nun handeln: Überall dort, wo die zentralen Schlüssel des weltweiten Domain Name System (DNS) hinterlegt sind, gilt es, einen Wechsel vorzubereiten.

DNSViz unterstützt die Ursachenforschung, wenn Komplikationen bei der DNSSEC-Konfiguration eintreten (Abb. 1). Quelle: IDNSViz.net

Um zu verstehen, warum diese Schlüssel so besonders sind, muss man kurz ausholen. Als Beispiel diene der DNSSEC-Status von www.heise.de: www.heise.de selbst ist nicht mit DNSSEC gesichert (Abbildung 1). Aus der Delegation der de-Zone ergeben sich nicht nur die für heise.de zuständigen Nameserver, sondern auch, dass keine Schlüssel in dieser Zone bekannt sind (NSEC3). Damit kann der Resolver den Namen guten Gewissens ohne weitere Überprüfung nachschlagen (im DNS-Jargon „auflösen“).

Der Resolver hat von den DNS-Root-Servern erfahren, welche Nameserver für die de-Zone zuständig sind. Diese wiederum haben ihm mitgeteilt, dass es einen Schlüssel 39227 gibt (DS). Tatsächlich enthält die de-Zone diesen Schlüssel. Mit ihm hat sie den Arbeitsschlüssel 37704 signiert. Und dieser seinerseits hat den NSEC3 für heise.de unterschrieben. All das kann der Resolver überprüfen.

Der Resolver erhält seine Informationen über die Root-Zone schlicht aus seiner lokalen Konfiguration, in der unter anderem die Root-Nameserver eingetragen sind. Beim Starten liest der Resolver diese Daten von seiner Festplatte. Von dort bezieht er auch den Root-Schlüssel, den Hauptschlüssel des Internets. Der existiert seit 2010 unter der Kennung 19036. Mit ihm wurde der Arbeitsschlüssel 15768 unterschrieben, der seinerseits den DS-Eintrag (Delegation Signer) für die de-Zone signierte. Damit diese Validierung klappt, muss vom Beginn der Kette an immer der richtige Schlüssel gefunden werden. Und genau diesen zentralen Aufhängepunkt gilt es nun zu wechseln.

Für Systemverwalter kann das einiges an Arbeit nach sich ziehen: Überall dort, wo der Root-Schlüssel auf der Festplatte hinterlegt ist (als Hash, Hexstring, einkompiliertes Binärmaterial, Registry-Key etc.), muss zusätzlich der neue Schlüssel eingetragen werden – und zwar weltweit auf allen Geräten mit Internetanschluss: auf dem DSL-Router, dem Handy, dem vernetzten Kühlschrank, dem Auto(-Navi), der aus dem Internet steuerbaren Heimvernetzung, umfärbbaren Leuchtmitteln, Kraftwerken, Industrieanlagen und endlos so weiter.

Automatisierung als Standard

Damit diese Umstellung nicht zu einem Albtraum ausartet, gibt es seit 2007 den RFC 5011. Dieser besagt im Wesentlichen, dass der neue Schlüssel in der betreffenden Zone vorab veröffentlicht und unterschrieben werden soll. Ein spezielles Flag markiert ihn als Hauptschlüssel der DNS-Zone, als „Key Signing Key“ (KSK). Dem Arbeitsschlüssel fehlt das Flag, er heißt „Zone Signing Key“ (ZSK).

Sobald ein Resolver feststellt, dass es in einer Zone zwei Hauptschlüssel gibt und diese mit den aktuell gültigen Schlüsseln unterschrieben sind, lernt er den zusätzlichen Schlüssel und speichert ihn auf seine Festplatte. Wechselt dann irgendwann einmal die Zone den Schlüssel, kennt er den neuen, nun gültigen Schlüssel bereits.

Nachdem keine Signaturen mit dem alten Hauptschlüssel mehr existieren können, weil deren Gültigkeitszeiten überschritten sind, wird der alte KSK mit einem Löschbit markiert. Dieses signalisiert dem Resolver, dass er den alten Schlüssel von seiner Festplatte löschen kann.