DNS-Schlüsselwechsel: Am 11.10. ist es so weit

Inhaltsverzeichnis

Am 11. Oktober tauscht die Internet Corporation for Assigned Names and Numbers (ICANN) den Trust Anchor des Domain Name System aus, den Vertrauensanker. Wenn alles wie geplant abläuft, wird niemand etwas davon bemerken. Wenn nicht, dann fällt für manche Nutzer der Internet-Dienst weitgehend aus.

Denn bevor ein PC oder Smartphone einen Server im Internet erreichen kann, braucht er dessen Internet-Adresse. Diese erhält er normalerweise, indem er dem DNS-Resolver des Providers die Ziel-Domain mitteilt (zum Beispiel ct.de). Der Resolver befragt dann den für diese Domain zuständigen DNS-Server und liefert dem anfragenden PC oder Smartphone die zugehörige IP-Adresse (zum Beispiel 193.99.144.80). Bleibt der Resolver stumm, kann der PC das Ziel nicht ansteuern. Und genau dieses Fehlerbild könnten manche DNS-Resolver ab dem 11. Oktober verursachen.

Schwedische Domäne

Der DNS-Verkehr ist nicht verschlüsselt, DNS-Antworten können aber signiert sein (DNSSEC). Die Signaturen können DNS-Resolver nutzen, um die Echtheit der DNS-Antworten und die Vertrauenswürdigkeit des zuständigen DNS-Servers zu validieren. Laut ICANN-CTO David Conrad hängt der Internet-Dienst für weltweit rund 25 Prozent aller Nutzer von validierenden Resolvern ab. Die wichtigsten Resolver stehen bei den Providern.

Von den insgesamt 1536 in der Root-Zone verzeichneten Domains (.de, .com, .net) sind laut aktueller ICANN-Statistik derzeit 1400 signiert. Als weltweit erstes Land der Welt hat Schweden DNSSEC eingeführt. Die meisten signierten Domains waren daher zu Beginn der DNSSEC-Geschichte in der schwedischen Adresszone aufgeführt; inzwischen sind 1,2 Millionen von 1,7 Millionen se.-Domains per DNSSEC abgesichert. Weltweit sind aber die meisten signierten Domains in den Niederlanden registriert. Dort gibt es seit einigen Jahren eine Pflicht, neue Domains zu signieren. Deshalb ist über die Hälfte aller 5,8 Millionen .nl-Domains per DNSSEC abgesichert.

Für die Validierung brauchen Resolver den Vertrauensanker (kryptografischer Schlüssel). Haben sie nach dem Stichtag nur den alten, scheitert die Validierung und sie müssen die erhaltenen DNS-Antworten verwerfen. Das ist schwerwiegender, als es zunächst klingt: Weil die Root-Zone und auch viele Top-Level-Domains signiert sind, muss ein solcher Resolver auch deren DNS-Antworten verwerfen. So kann er aber nicht den für die angefragte Domain zuständigen DNS-Server finden. Dabei spielt es keine Rolle, ob die angefragte Domain signiert ist oder nicht. Geräte, die diese Resolver befragen, sind dann weitgehend vom Internet abgeschnitten, denn sehr viele moderne Anwendungen setzen auf dem Domain Name System auf.

Zweiter Anlauf

Weil der Austausch von Schlüsseln zu einer guten Kryptographiehygiene gehört, war der Wechsel des Vertrauensankers (Key Rollover) seit Signierung der Root-Zone im Jahr 2010 beschlossene Sache. Entsprechend hat die ICANN den Schlüsseltausch mit viel Vorlauf und akribisch vorbereitet. Eigentlich sollte er schon am 11. Oktober 2017 ablaufen. Er musste aber knapp vor dem Stichtag abgeblasen werden, denn Analysen zufolge hatten viele validierende Resolver nur den alten Vertrauensanker. Mittlerweile geht die Netzverwaltung von allenfalls minimalen Problemen bei Providern aus.

Bei den Analysen kamen unter anderem teils fehlerhafte Implementierungen ans Licht, deaktivierte oder aus anderen Gründen scheiternde automatische Updates in den Resolvern und andere Probleme. Einige Fehlerquellen wurden innerhalb des vergangenen Jahres behoben.

Zwar müsse man davon ausgehen, dass rund um den Globus immer noch ein paar Resolver-Betreiber nicht vorbereitet sind, sagte ICANN-CTO Conrad. Doch laut APNIC-Forscher Geoff Huston haben im April dieses Jahres allenfalls 0,05 Prozent aller Nutzer solche Resolver konfiguriert (siehe dazu seine Analyse der Telemetrie-Daten Measuring Root Zone KSK Trust). Die ICANN listet aktuell rund 24.000 einzelne IP-Adressen, die seit September 2017 mindestens einmal nur den alten Vertrauensanker gemeldet haben. Die Dunkelziffer dürfte weit höher liegen, weil bisher nur die beiden Resolver BIND9 und Unbound Telemetriedaten liefern.

24.000 IP-Adressen melden alten Vertrauensanker

Das klingt nach viel und ist für jeden Betroffenen ein ernstes Problem. Auf den allgemeinen Internet-Betrieb sollten sich die noch immer nicht aktualisierten Resolver aber nicht auswirken. Die Provider sind sicher, dass ihre aktualisiert sind. Übrig bleiben sollten dann nur Resolver bei Unternehmen, Entwicklern und Nutzern von Routern, die solche Resolver mit oder ohne Wissen betreiben. Viele der 24.000 IP-Adressen tauchen nicht regelmäßig in den Telemetriedaten der ICANN auf, wie man es bei dauerhaft betriebenen Resolvern erwartet, sondern nur gelegentlich. Man kann mutmaßen, dass solche Resolver in gelegentlich gestarteten virtuellen Maschinen oder Docker-Containern stecken. Welche Ursachen die Aktualisierung verhindern können und wie man die Probleme beseitigt, haben wir kürzlich im Beitrag Domain Name System: Vorsichtsmaßnahmen für den DNS-Schlüsseltausch zusammengefasst.

Der Schlüsselaustausch ist gut vorbereitet und getestet. Dennoch sollte man nicht vergessen, dass eine solche Infrastruktur-Änderung am Internet noch nie durchgeführt worden ist. Das macht den 11. Oktober nicht nur für Internet-Veteranen spannend. Drücken Sie die Daumen und informieren Sie potenzielle Resolver-Betreiber in Ihrem Bekanntenkreis. Es ist wichtig, dass möglichst viele Nutzer auf den Wechsel des Vertrauensankers vorbereitet sind. Wes Hardacker, ein an Telemetrieanalysen beteiligter Spezialist des Information Sciences Institute an der University of Southern California betont: Je mehr Information über den Key Rollover in Umlauf kommt, desto wahrscheinlicher ist, dass die Dinge glatt laufen.

[Update]: 10.10.2018, 15:10 Uhr, Nicht in Schweden, sondern in den Niederlanden sind die weltweit meisten signierten Domains registriert. (dz)