l+f: Wo ist der ver@!%& Schlüssel?
Eigentlich wollte die ICANN am 12. Februar den Root-Key des DNSSec signieren.
(Bild: Old Guy Photos / Shutterstock)
(Bild: heise)
Die ICANN musste die routinemäßig alle 6 Monate stattfindende Signierung des DNS Root Keys verschieben, weil sie den Safe nicht aufbekommt. Also nicht irgendeinen Passwort-Safe, sondern einen richtigen aus Stahl, in dem "Material für die Zeremonie" aufbewahrt wird. Derzeit wird versucht, einen neuen Termin für das rituelle Event in El Segundo, Kalifornien, zu finden.
Das ist das erste Mal in zehn Jahren, dass eine solche Key-Signing-Zeremonie verschoben werden musste. Eine Gefahr, dass DNSSec ausfalle, bestehe dadurch jedoch nicht, erklärt Kim Davies von der ICANN. Im Zweifelsfall gibt es noch eine zweite, identische Einrichtung im Bundesstaat Virginia.
Das Vertrauen in die Echtheit von DNS-Informationen beruht auf digitalen Unterschriften der jeweils höheren Instanz (DNSSec). Deren Echtheit wiederum beglaubigt die nächst höhere – bis man schließlich bei einer Unterschrift mit dem Schlüssel für die DNS-Root-Zone angelangt ist, die die Schlüssel der Top-Level-Domains wie .com und .de signiert. Dessen Echtheit muss man letztlich glauben, denn der Schlüssel trägt lediglich seine eigene Unterschrift. Um dieses Vertrauen zu untermauern, führt die ICANN alle 6 Monate eine Zeremonie durch, bei der eine Reihe von Personen dessen Echtheit prüfen und bezeugen. Cloudflare erklärt den Vorgang in einem Hintergrund-Artikel zu The DNSSEC Root Signing Ceremony
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(ju)
