Nein, es ist kein ICANN-Picknick oder eine Party. Es ist ein wichtiges Element, um die Sicherheit des Internets zu gewährleisten. Mitte Oktober rollte die ICANN erfolgreich den kryptographischen Schlüssel zum Schutz des Domain Name System (DNS) aus. Es war das erste Mal seit seiner Inbetriebnahme im Jahr 2010, dass ein solches Verfahren stattgefunden hatte.
Die Verleihung des Key Signing Key (KSK), die im Oktober stattfand, wurde von der ICANN und einem internationalen Kooperationsprojekt, an dem die SIDN Labs beteiligt waren, die den Rollover sorgfältig überwachten, als Erfolg eingestuft. Sie fanden das wichtigste Ergebnis darin, dass "der Rollover ein Erfolg war". Sie stellten ferner fest, dass sie "während des Rollover oder in den folgenden 48 Stunden keine größeren Abweichungen festgestellt haben" und "auch andere Quellen berichteten über keine wesentlichen Probleme".
"Es gab weitaus weniger Internetnutzer, die von der Änderung negativ betroffen waren (genannt Rollover) als erwartet", schrieb Paul Hoffman, Principal Technologist, Office of the CTO, ICANN auf dem ICANN-Blog. "Es gibt noch ein paar Dinge, die getan werden müssen, damit der Rollover-Prozess als abgeschlossen gilt, aber die Hauptaufgabe verlief reibungslos."
"Diese erfolgreiche Nutzung der Infrastruktur, die notwendig ist, um den Schlüssel der Rootzone auszurollen, hat gezeigt, dass es möglich ist, den Schlüssel global zu aktualisieren", sagte David Conrad, Chief Technology Officer der ICANN. "Es lieferte auch wichtige Erkenntnisse, die uns bei zukünftigen Schlüsselrollen helfen werden."
Der KSK-Rollover war ursprünglich für Oktober 2017 geplant, wurde aber nur wenige Wochen vor dem geplanten Termin verschoben, dann im Dezember für das erste Quartal 2018 und dann erneut verschoben.
Die Verzögerungen beim Rollover ergaben sich aus der Befürchtung, dass bis zu jeder vierte Internetnutzer den Zugang zum Internet verlieren könnte. Das Ändern oder "Rollen" des KSK-Schlüssels verzögerte sich ursprünglich, da einige wenige Wochen vor dem ursprünglich geplanten Zeitpunkt erhaltene Daten zeigten, dass eine beträchtliche Anzahl von Resolvern, die von Internet Service Providern (ISPs) und Netzbetreibern verwendet werden, noch nicht bereit für den Schlüsselübergang waren. Die Verfügbarkeit der neuen Daten war auf eine sehr aktuelle DNS-Protokollfunktion zurückzuführen, die einem Resolver die Möglichkeit gibt, an die Root-Server zurückzumelden, welche Schlüssel er konfiguriert hat.
Für die Zukunft sind noch einige Schritte zu unternehmen. Zunächst erklärt ICANN, dass der alte Schlüssel formell widerrufen werden muss. Am 11. Januar 2019 wird der alte Schlüssel, der weiterhin in der Rootzone veröffentlicht ist, geändert wird, um anzuzeigen, dass er nicht mehr gültig ist und dass Resolver ihn aus ihren Konfigurationen löschen sollten. Kurz danach wird die ICANN ein umfangreiches Whitepaper veröffentlichen, das den gesamten Rollover-Prozess abdeckt, einschließlich der Lehren aus den Bemühungen. Dann werden die vielen Communities der ICANN beginnen, darüber zu diskutieren, was sie von zukünftigen Rollovers erwarten, einschließlich der Frage, wie oft sie stattfinden sollten.
Geoff Huston schreibt in seinem Potaroo-Blog häufig: "Es gibt viel zu sagen, wenn man diesen Roll jährlich durchführt, schon allein, um den Einsatz automatisierter DNS-Resolver-Tools zu fördern, die den KSK-Zustand verfolgen, ohne dass manuelle Eingriffe erforderlich sind. Regelmäßiges Ausrollen des KSK bewirkt jedoch wenig an sich. Wir sollten nun weitere Maßnahmen für die root zone KSK prüfen."
