News

    David Goldstein - ICANN erfolgreich mit verspätetem KSK Rollover

    30.10.2018

    Am 11. Oktober schaffte die ICANN, mit minimalen Störungen, ihre erste Änderung des kryptographischen Schlüssels, der zum Schutz des Domain Namen Systems (DNS) dient. Es war das erste Mal, dass der Schlüssel seit seiner Inbetriebnahme im Jahr 2010, geändert wurde.

    Die Änderung des kryptographischen Schlüssels, oder das Ausrollen der Key Signing Keys Root-Zone, auch bekannt als KSK Rollover, war ursprünglich für Oktober 2017 geplant. Aber es tauchten Befürchtungen auf, dass einer von vier Internetnutzern seinen Zugang zum Internet verlieren könnte.

    Die Änderung des KSK Schlüssels war ursprünglich verschoben worden, da einige Wochen vor dem ursprünglich geplanten Datum bis dahin erlangte Daten zeigten, dass eine signifikante Anzahl an Resolvern, die von Internet Service Providern (ISPs) und Netzbetreibern verwendet wurden, noch nicht für die Schlüsseländerung bereit waren. Die Verfügbarkeit der neuen Daten war auf eine sehr aktuelle DNS-Protokollfunktion zurückzuführen, die einem Resolver die Möglichkeit gibt, an die Root-Server zurückzumelden, welche Schlüssel er konfiguriert hat.

    Während der Schlüsseländerung letzte Woche wurden scheinbar die wenigen aufgetretenen Probleme schnell behoben und keines deutete auf ein systemisches Versagen hin, das sich dem Schwellenwert (wie von der ICANN-Community definiert) nähern würde, um eine Umkehrung der Änderung einzuleiten. In diesem Zusammenhang hat die ICANN erklärt, dass die Umstellung auf den neuen Key Signing Key, bekannt als KSK 2017, ein Erfolg war.

    Zum jetzigen Zeitpunkt gibt es keine Anzeichen dafür, dass es notwendig ist, aus dem Änderungsprozess auszusteigen und die ICANN wird nun zum nächsten Schritt im Änderungsprozess übergehen: der Aufhebung des alten KSK, bekannt als KSK 2010, bei der nächsten Schlüsselzeremonie im ersten Quartal 2019.

    „Die erfolgreiche Anwendung der Infrastruktur, die notwendig ist, um den Schlüssel der Root-Zone zu ändern, hat gezeigt, dass es möglich ist, den Schlüssel global zu aktualisieren“, sagte David Conrad, Chief Technology Officer der ICANN. „Dies lieferte auch wichtige Erkenntnisse, die uns bei zukünftigen Schlüsseländerungen helfen werden.“

    Die endgültige Entscheidung, den Root-Zone Key Signing Key (KSK) zu ändern, wurde von ICANN Präsident und CEO Göran Marby getroffen, nachdem er die Ergebnisse der Bemühungen der ICANN und anderer, insbesondere der technischen DNS-Community überprüft hatte. Diese Ergebnisse waren das Resultat von bedeutendem globalem Engagement, in Absprache mit der ICANN Community und nach ausgiebigen Analysen der verfügbaren Daten.