Root-Zone Keychange: ICANN testet Resolver
Im Jahr 2017 ist es wieder soweit: die DNSSEC Schlüssel werden getauscht, um Cyberkriminalität vorzubeugen. Würde ein Hacker diesen Schlüssel knacken, könnten sie falsche DNS Replys verbreiten, die absolut glaubwürdig aussehen und damit großen Schaden anrichten.
Die Schlüssel werden in loser Folge gewechselt, was bei signierten Domains in der Regel problemlos geschieht. Anders scheint es bei der Root-Zone zu sein, denn der Tausch des Key Signing Key der Root-Zone scheint schwieriger als gedacht. Es ist laut Experten fraglich, ob die weltweit aktiven validierenden Resolver den Tausch dieses Schlüssels wirklich mitmachen. Deshalb hat die ICANN jetzt eine Testseite mit einem validierenden Resolver online gestellt. Sie ist eine Vorbereitung für den Schlüsseltausch am 11. Oktober 2017 und eine Art Testlauf.
Vorstellung der Resolver-Testseite in Kopenhagen
Der offizielle Start der Resolver-Testseite erfolge auf der 58. ICANN Konferenz im dänischen Kopenhagen. David Conrad, CTO der ICANN, sagte, die Testversion ermögliche allen Betreibern von validierenden Resolvern festzustellen, ob sie nach dem Schlüsseltausch am 11. Oktober noch funktionieren. Resolver, die gemäß RFC 5011 ausgelegt sind, sollten bereits vorprogammiert sein, den Wechsel automatisch zu absolvieren. Betreiber dieser Resolver erhalten durch den Test die Sicherheit, dass alle Konfigurationen stimmen.
Keychange kommt später als geplant
Ursprünglich sollte der Keychange bereits 2015 stattfinden, um das Risiko für Cyberangriffe zu minimieren, doch die Techniker konnten zahlreichen Probleme in der Rootzone nicht lösen und sind erst jetzt, knapp zwei Jahre später, bereit für den großen Tausch.
Es gibt am internationalen Markt zahlreiche Unternehmen, die Resolver betreiben und den Keychange sozusagen „von Hand“ vornehmen wollen. Google hat angekündigt, keinen automatischen Schlüsseltausch zu absolvieren, sondern selbst zu validieren. Die ICANN sieht dabei aber keine Probleme, denn die Google Techniker sind erfahren. Das Unternehmen der ABC Konzerngruppe beliefert einen außerordentlich großen Teil der weltweit rund 750 Millionen DNSSEC-Nutzer und wird sich sicher perfekt auf den Tausch vorbereiten.
Resolver-Betreiber, die den Test absolvieren möchten, sollten sich rechtzeitig bei der ICANN anmelden. Alle anderen Administratoren finden auf deren Internetpräsenz Informationen zum manuellen Schlüsseltausch.