News

    David Goldstein - Die ICANN verschiebt KSK-Rollover aus Angst, Millionen würden ihren Internetzugang verlieren

    24.11.2017

    Die Wichtigkeit der Sicherheit des Domain-Name-Systems (DNS) steht außer Frage. Und vor kurzem war ICANN gezwungen, den sogenannten KSK-Rollover im Oktober zu verschieben, weil ein Fehler auftrat, der einen von vier Internetnutzern rund um den Globus hätte treffen können, wodurch Millionen ihren Internetzugang verloren hätten. Der KSK-Rollover beinhaltet die Änderung des kryptographischen Schlüssels, der zum Schutz des DNS und zur Sicherheit des Internets beiträgt.

    Die Änderung des Schlüssels, erklärt ICANN, „beinhaltet die Generierung eines neuen kryptographischen Schlüsselpaares und die Verteilung der neuen öffentlichen Komponente an die DNSSEC (Domain Name System Security Extensions) validierenden Auflöser“. Von diesen werden die Internetnutzer auf die von ihnen angeforderte Website geleitet. All dies geschieht schneller als ein Wimpernschlag.

    Bei der Entwicklung des Internets stand die Sicherheit nicht im Vordergrund. DNSSEC wurde als Sicherheitsprotokoll entwickelt, um kritische Sicherheitsmängel des DNS zu beheben. Wenn ein Domainname DNSSEC-fähig ist, können Internetnutzer darauf vertrauen, dass sie beim Besuch der Webseite sicher sein, dass es sich hierbei um eine legitime Webseite handelt und nicht um eine, die von Kriminellen eingerichtet wurde.

    Die Änderung oder das „Ausrollen“ des KSK-Schlüssels war ursprünglich für den 11. Oktober geplant, wurde aber nach einer, von Verisign initiierten Untersuchung, die später von der ICANN bestätigt wurde, verschoben. Die Untersuchung zeigte, dass eine beträchtliche Anzahl von Auflösern, die von Internet Service Providern (ISPs) und Netzbetreibern verwendet wurden, noch nicht bereit waren. Die Verfügbarkeit dieser neuen Daten ist auf eine sehr neue DNS-Protokollfunktion zurückzuführen, die es einem Auflöser ermöglicht, den Root-Servern mitzuteilen, welche Schlüssel er konfiguriert hat.

    Die ICANN schätzte, dass 750 Millionen Menschen, d. h. einer von vier Internetnutzern, von dem KSK-Rollover betroffen gewesen wären, basierend auf der geschätzten Anzahl von Internetnutzern, die DNSSEC-validierte Auflöser verwenden. Und von diesen hätten rund 60 Millionen Menschen den Internetzugang verlieren können, wenn das Rollover stattgefunden hätte.

    Es kann mehrere Gründe geben, warum Betreiber den neuen Schlüssel nicht in ihren Systemen installiert haben: Einige haben ihre Auflöser-Software möglicherweise nicht richtig konfiguriert und ein kürzlich entdecktes Problem in einem weit verbreiteten Auflöser-Programm scheint den Schlüssel nicht automatisch so zu aktualisieren, wie es sein sollte, aus Gründen, die noch geklärt werden müssen.

    Mit Blick auf die Zukunft, hofft ICANN, bald einen neuen Termin für den KSK-Rollover zu haben, wobei das erste Quartal 2018 anvisiert wird, aber das, so erklärt ICANN, hängt von einem besseren Verständnis der neuen Informationen ab und dass so viele Fehler wie möglich abgemildert werden.