24 Stunden nach dem Start: Dramafreier DNS-Schlüsselwechsel

Der Wechsel auf den neuen Vertrauensanker der DNS-Root-Zone läuft bislang weitgehend störungsfrei ab. Die Reaktionen der Experten reichen von "angenehm überrascht" bis "total dramafrei". Der glatte Wechsel erfreut, denn rund ein Viertel der weltweit betriebenen Resolver nutzt die DNSSEC-Technik, um zu prüfen, ob signierte DNS-Antworten unverfälscht sind und ob sie aus einer vertrauenswürdigen Quelle stammen (Validierung). Klappt die Validierung mangels neuem Vertrauensanker nicht, fällt für Geräte, die einen solchen Resolver verwenden, der Internet-Dienst weitgehend aus.

Um kurz nach neun Uhr am heutigen Freitag meldete die niederländische Registry SIDN erstmals mehr Überprüfungen von DNS-Anfragen mit dem neuen als mit dem alten Vertrauensanker. Das entnimmt die Registry einem Netz von RIPE-Atlas-Probes, die sie selbst betreibt. Das RIPE-Atlas-Netz hat seine "Augen und Ohren" allerdings vor allem in Europa und Nordamerika.

Weil die Gültigkeit des alten Schlüssels am gestrigen Donnerstag um 18:00 Uhr CEST abgelaufen ist, lassen sich signierte DNS-Antworten nur noch mit dem neuen Anker prüfen – es sei denn, ein Resolver hat noch den alten Anker im Cache und die TTL des Ankers ist noch nicht abgelaufen. Diese beträgt maximal 48 Stunden.

Validierung mit neuem Anker nimmt zu

Betreiber der großen öffentlichen DNS-Resolver, etwa Google oder Quad9, melden durchweg "keine Probleme". Je nachdem, wo auf der Welt ein Resolver steht, kann er den alten Anker noch eine Weile verwenden. Fachleute erwarten, dass für viele Resolver die TTL des alten Schlüssels erst am morgigen Samstag zwischen acht und neun Uhr auslaufen wird. Dann sollte der zugehörige Validierungsverkehr sprunghaft gegenüber dem mit dem alten Anker ansteigen. Die TTL des alten Schlüssels läuft definitiv morgen um 18 Uhr CEST aus. Bis dahin können sich aktuell noch unerkannt schlummernde Validierungsprobleme manifestieren.

Der CTO der ICANN, David Conrad, hatte noch kurz vor der Umstellung auf den neuen Schlüssel gegenüber heise online versichert, auf Seiten der Schlüsselverwalter könne "sehr wenig" schief gehen, da die meisten Abläufe automatisiert sind und von einem Expertenteam überwacht werden. "Streng genommen ist der Ablauf des Rollovers fast identisch mit der normalen Publikation der aktualisierten Rootzone." Conrad rechnet damit, dass die meisten Betreiber von validierenden Resolvern etwaige Probleme selbst behandeln werden.

Schlüsselwechsel verschlafen

Wie das aussehen kann, lernte ein Administrator, der einen PowerDNS-Resolver einsetzt, auf die harte Tour. Vergangene Nacht lieferte sein Resolver plötzlich statt DNS-Antworten nur noch ServFail-Meldungen. Bei der Fehlersuche prüfte der Betroffene, der offenbar alle Nachrichten zum Schlüsseltausch verpasst hatte, auch den DNSSEC-Status. Dieser wies nur diffus auf den Kern des Problems hin, sodass sich der Admin damit behalf, die Validierung kurzerhand abzuschalten. Damit klappte die DNS-Auflösung natürlich wieder, aber auf Kosten der Sicherheit. Erst ein Ubuntu-Update lieferte den neuen Anker frei Haus.

Noch bis zum Samstagabend werden DNS-Experten mit Argusaugen das Geschehen verfolgen. Die ersten Nutzer fragen unterdessen schon, wie oft der Vertrauensanker künftig getauscht wird. Die ICANN, die den Vorgang regelt, wird nicht wieder acht Jahre warten, so viel ist sicher. (dz)