DNSSEC Key Rollover: Ein paar kleine Probleme und ein großes
Der erste DNSSEC-Schlüsseltausch am 11.10.2018 lief so gut, dass häufigere Wechsel gefordert werden. Mindestens ein großer Provider hat es aber verschlafen.
Erstmals lief Ende vergangener Woche ein Routinetausch des Master-Schlüssels (Key Signing Key, KSK) für die zentrale Root Zone im weltweit benötigten Domain Name System (DNS). Den irischen Breitband- und Mobilfunkanbieter Eir, früher Eircom, erwischte der Rollover offensichtlich kalt: Ab Samstagabend meldeten wütende Nutzer über alternative Kanäle zunehmend Ausfälle ihrer Dienste, inklusive des TV-Angebots. Mittlerweile entschuldigte sich das Unternehmen, wie die BBC berichtete [1], schmallippig für ein "DNS Problem“.
Eir hat unsere Anfrage nach Details noch nicht beantwortet. So muss man wohl davon ausgehen, dass der KSK-Tausch schlicht vergessen wurde. Spätestens seit 2013 hatte die Firma die DNS-Validierung angeschaltet, wie eine Übersicht (PDF) von APNICs Chefwissenschaftler Geoff Huston [2] bestätigt. Das geschah offenbar aus gutem Grund: Eir(com) war 2009 Opfer breit diskutierter Cache-Poisoning-Attacken.
Weil der ehemalige Staatsmonopolist in den vergangenen 20 Jahren zehnmal neue Hauptanteilseigner bekam, zuletzt 2017, und laut Experten verstärkt Aufgaben outsourcte, kann das Wissen darüber, dass man den 2010 generierten KSK in eigene DNS-Resolver eingepflegt hatte, schlicht verloren gegangen sein. Das Weiternutzen des alten KSK führte nach Ablauf seiner Time-To-Live ab Samstag, 13.10.2018, 18:00 Uhr CEST zu massiven Einschränkungen bis hin zum Totalausfall von Diensten. Denn ohne aktuellen Schlüssel scheitern alle DNS-Anfragen, das Internet erscheint "tot".
Googles DNS-Server to the rescue
Eir schickte am Wochenende seine Kunden zunächst auf Fehlersuche in deren lokalen Geräten. In zwei Tweets am Samstag räumte das Unternehmen dann die eigenen Probleme ein und entschuldigte sich. Teils hätten sich findige Eir-Nutzer durch das Umstellen auf Public Resolver geholfen, sagte ein Experte am Rande des laufenden RIPE77-Treffens [3] in Amsterdam.
Willem Toorop von Nlnet Labs, der detaillierte Statistiken zum KSK Rollover hat, konnte bestätigen, dass Nutzer aus dem Eir-Netz wegen Validierungsproblemen zu Googles DNS-Servern wechselten (8.8.8.8/2001:4860:4860::8888 [4] und 8.8.4.4/2001:4860:4860::8844 [5]). Auch seine Analyse läuft noch. Irgendwann am Sonntag war das Problem endlich behoben. Experten der ICANN berichteten in Amsterdam, dass man bislang erfolglos versucht habe, den Eir-Vorfall zu klären.
Monitoring Software und kleine Fische
Insgesamt ist man bei der Internet Corporation for Assigned Names and Numbers (ICANN) mit dem Schlüsseltausch hoch zufrieden: Eine einzige Fehlermeldung kam bei Ed Lewis an, einem der DNS-Technikexperten der ICANN. Vereinzelte Probleme kleiner Resolverbetreiber wurden über Centos, PowerDNS und Bind-Mailinglisten verbreitet, so Anand Buddhev, DNS-Experte des RIPE NCC.
Hinweise zu Problemen und Fehleranalysen könnten aber auch in den nächsten Wochen noch kommen, mahnt Lewis. Hart eingebaute alte KSKs gab beispielsweise bei mindestens einer Netzwerk-Monitoring-Software, ironischerweise einer, die ICANN selbst nutzt. Die kleineren Ausfälle zeigen nach Ansicht der Experten lediglich, dass beim Key Rollover künftig auch Anwendungen abseits klassischer DNS-Resolver Aufmerksamkeit geschenkt werden müsse.
Das gilt auch für die begleitenden Messaktionen, versicherte Emile Aben, Mitglied im Measurement Team des RIPE NCC. Den Umstieg einiger großer, öffentlicher Resolver kann man allerdings bereits schön in den Grafiken von SIDNLabs und Nlnet Labs begutachten.
Und jetzt monatliche Schlüsselwechsel?
Den ersten großen Sprung bei der Aktivierung des neuen Schlüssels am vergangenen Freitag (11.10.2018) um 18:00 Uhr mitteleuropäischer Zeit lieferte Cloudflares Public-DNS-Dienst (1.1.1.1/ [6]2606:4700:4700::1111 und 1.0.0.1/ [7]2606:4700:4700::1001). Via Public Interface hatte jemand bei Cloudflare die Erneuerung des Caches erzwungen und dadurch die Umstellung auf den neuen Schlüssel beschleunigt. Google überließ das Auslaufen der TTL und damit den Umstieg sich selbst, machte aber laut Toorop am Samstag ebenfalls einen großen Satz.
(Bild: Willem Toorop, Nlnet Labs [8] )
Dass der Schlüsseltausch auf oberster DNS-Ebene so glimpflich über die Bühne ging, bescherte der ICANN bereits wenige Stunden später die Debatte, ob man nun nicht monatlich oder doch mindestens jährlich den kryptographischen Schlüssel wechseln sollte. Das wäre zwar im Sinn guter kryptographischer Hygiene, verkennt aber wie manche Experten mahnen, dass exakte Vorhersagen zu möglichen Ausfällen ein Ding der Unmöglichkeit bleiben. Lewis mahnt, dass der KSK Rollover erst vollständig abgeschlossen ist, wenn der alte Schlüssel im Frühjahr 2019 widerrufen sein wird. (ea [9])
URL dieses Artikels:
https://www.heise.de/-4193439
Links in diesem Artikel:
[1] https://www.bbc.com/news/world-europe-45852084
[2] https://labs.apnic.net/presentations/store/2013-08-27-dnssec-apnic.pdf
[3] https://ripe77.ripe.net/programme/meeting-plan/
[4] http://8.8.8.8/2001
[5] http://8.8.4.4/2001
[6] http://1.1.1.1/
[7] http://1.0.0.1/
[8] https://indico.dns-oarc.net/event/29/contributions/654/attachments/633/1048/dnsthought-oarc29-2.pdf
[9] mailto:ea@ct.de
Copyright © 2018 Heise Medien