News

    David Goldstein - ICANN terminiert den KSK-Rollover für Oktober 2018 neu

    06.02.2018

    ICANN hat angekündigt, dass der ursprünglich für Oktober 2017 geplante KSK Rollover nun für Oktober 2018 vorgesehen ist, nachdem es zu einer Verzögerung aufgrund von Befürchtungen kam, dass einer von vier Internetnutzer den Zugang zum Internet verlieren könnte.

    In einem Statement Anfang Februar kündigte der globale Domain-Namen-Koordinator eine öffentliche Beratung an, da sie glaubten, eine Lösung für die Probleme gefunden zu haben, die den Rollover im Oktober verhindert hatten.

    Die Änderung oder das "Rollen" des KSK-Schlüssels wurde ursprünglich verzögert, weil einige wenige Wochen vor dem ursprünglich geplanten Termin erhaltene Daten eine signifikante Anzahl von Resolvern zeigten, die von Internet Service Providern (ISPs) und Netzbetreibern verwendet wurden, die noch nicht für den Rollover bereit waren. Die Verfügbarkeit der neuen Daten war auf eine sehr neue DNS-Protokollfunktion zurückzuführen, die einem Resolver die Möglichkeit bietet, den Root-Servern mitzuteilen, welche Schlüssel er konfiguriert hat.

    ICANN erklärte: "Es kann mehrere Gründe geben, warum Betreiber den neuen Schlüssel nicht in ihren Systemen installiert haben: Einige haben ihre Resolver-Software möglicherweise nicht richtig konfiguriert, und ein kürzlich entdecktes Problem in einem weit verbreiteten Resolver-Programm scheint den Schlüssel nicht automatisch zu aktualisieren, was der Fall sein sollte, aus Gründen, die noch untersucht werden

    ICANN verpflichtete sich daraufhin, sich an die Gemeinschaft zu wenden, einschließlich ihres Beratenden Ausschusses für Sicherheit und Stabilität, der regionalen Internet-Registrierungsstellen, der Netzbetreibergruppen und anderer Organisationen, um bei der Erforschung und Lösung der Probleme behilflich zu sein.

    Bei der Änderung des Schlüssels wird ein neues kryptographisches Schlüsselpaar erzeugt und die neue öffentliche Komponente an die DNSSEC (Domain Name System Security Extensions) - validierenden Resolver verteilt. Basierend auf der geschätzten Anzahl von Internetnutzern, die DNSSEC-Validierungsresolver verwenden, hätte der Rollover im Oktober letzten Jahres, hätte er wie geplant stattgefunden, möglicherweise einen von vier Internetnutzern, den Zugang gekostet, das hätte 750 Millionen Menschen entsprochen.

    ICANN hat jetzt in einer formellen öffentlichen Stellungnahme den Zeitraum eröffnet, um Beiträge der Gemeinschaft zu einem Planentwurf für die Fortführung des KSK-Rollover-Projekts zu erhalten. Dieser Stellungnahmezeitraum läuft bis zum 1. April 2018.
    Der Plan sieht vor, die Root Zone KSK am 11. Oktober 2018 zu ändern (ein Jahr später als ursprünglich geplant), weiterhin weitreichende Maßnahmen zu ergreifen, um so viele Resolver Betreiber wie möglich zu benachrichtigen, und mehr Beobachtungen des RFC 8145 Trust-Ankerberichts zu veröffentlichen. Weitere Details sind im Plan enthalten.

    Darüber hinaus wird es eine Sitzung auf der ICANN61 in Puerto Rico geben, um den Plan weiter zu diskutieren und zusätzliches Feedback zu erhalten. Der Planentwurf folgt auf die Veröffentlichung der ICANN Ende Dezember, in der die ICANN die nächsten Schritte im Prozess zur Wiederaufnahme des KSK-Rollover-Projekts ankündigte. Damals beschrieb ICANN ihre Bemühungen, die Betreiber von DNS-Resolvern aufzuspüren, die für den Rollover nicht bereit waren.
    Unter Verwendung eines in RFC 8145 beschriebenen Protokolls hatten diese problematischen Resolver den Root-Servern eine Trust-Ankerkonfiguration mit nur dem aktuellen KSK (bekannt als KSK-2010) und nicht dem neueren KSK (bekannt als KSK-2017) gemeldet.

    Um mehr über den Plan zu erfahren und zu kommentieren, lesen Sie bitte die ICANN Public Comment Ankündigung hier.