Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

Am 11. Oktober 2017 sollte der DNSSEC-Hauptschlüssel, der das Domain Name System (DNS) gegen Manipulation schützt, planmäßig ausgewechselt werden. Die Internet Corporation for Assigned Names and Numbers (ICANN) teilt nun mit, dass sie den Tausch vorerst auf das erste Quartal 2018 verschoben hat. Möglicherweise wird sogar eine weitere Verschiebung erforderlich, denn die ICANN will unbedingt einen für möglichst alle Nutzer störungsfreien DNS-Betrieb gewährleisten.

Der Schritt kommt für manche Beobachter unerwartet, denn die ICANN, die die obersten DNS-Server verwaltet (DNS-Root-Zone), hatte den Schlüsseltausch minutiös und von langer Hand vorbereitet. Doch offenbar spielt ein erheblicher Teil der Provider nicht mit und hat den Schlüssel bisher nicht aktualisiert. Würde der Schlüssel planmäßig am 11. Oktober getauscht werden, wäre danach der DNS-Dienst für zu viele Internetnutzer gestört, sodass sich beispielsweise Webseiten nicht mehr öffnen lassen. ICANN will die Verschiebung nun nutzen, um die Provider anzusprechen, die den Tausch noch nicht vollzogen haben.

Bis zu 750 Millionen Betroffene

Der neue Schlüssel ist seit dem 11. Juli für Jedermann öffentlich erhältlich (Key Signing Key der Root-Zone). Aktuelle DNS-Resolver teilen den Root-Servern bei üblichen DNS-Anfragen mit, welchen Schlüssel sie nutzen und die ICANN wertet die Logs der DNS-Root-Server auf diese Information hin aus. Den Ergebnissen zufolge könnte der DNS-Dienst bei weltweit jedem vierten Internet-Nutzer ausfallen, weil der DNS-Resolver seines Providers keinen aktuellen Root-KSK verwendet. Die ICANN spricht von 750 Millionen potenziell Betroffenen.

Es gibt verschiedene Gründe, weshalb die Aktualisierung nicht bei allen Resolver-Betreibern klappt. Denkbar ist, dass manche die Software nicht wie erforderlich konfiguriert haben, denn eigentlich können viele DNS-Resolver den neuen Schlüssel automatisch beziehen. Ein Resolver tut das laut Angaben der ICANN zurzeit nicht. Die Ursache ist noch unklar; die ICANN nennt den betreffenden Resolver bisher nicht namentlich. Von älteren Unbound-Versionen, die nach dem 11. Juli neu installiert worden sind, ist bekannt, dass sie bei der automatischen Aktualisierung scheiterten. Das Problem ist in der aktuellen Unbound-Version aber behoben.

Handreichungen für den Schlüsseltausch

Betreiber können auf einer von der ICANN eingerichteten Webseite selbst prüfen, ob Ihr Resolver den neuen Schlüssel verwendet. Falls es knirscht: Wir haben unter dem Thema DNSSEC für etliche gängige Resolver aufgeführt, woran der Schlüsseltausch scheitern kann und wie man die Problemchen löst.

Weiterführende Informationen zum Schlüsseltausch finden Sie unter anderem in diesen beiden Artikeln:

Siegeltausch – Neue DNSSEC-Schlüssel für die Root-Zone, iX 10/2017

Schlüsseldienst, DNSSEC: Handreichungen für den Key-Rollover der Root-Zone, (c't 14/2017, S. 162, kostenpflichtiger Beitrag) (dz)