Gefahr im Verzug
Warum die ICANN den Tausch des obersten DNS-Schlüssels verschiebt
Wenn es im Domain Name System knirscht, sollte man den Atem anhalten, denn der Dienst ist für Internet-Anwendungen essenziell; ein DNS-Ausfall ist fast gleichbedeutend mit einem Internet-Ausfall. Einen solchen hat die ICANN kürzlich verhindert.
Das Domain Name System schützt ein kryptografischer Schlüssel vor Manipulation (Key Signing Key, KSK). Weil der KSK seit 2010 in Betrieb ist, sollte er am 11. Oktober getauscht werden. Doch die Internet Corporation for Assigned Names and Numbers (ICANN) verschob den Tausch Ende September auf das erste Quartal 2018.
Der Schritt kam unerwartet, denn die ICANN, die die obersten DNS-Server verwaltet, hatte den Wechsel minutiös vorbereitet. Dennoch hat ein Teil der Provider den Schlüssel nicht aktualisiert. Kunden dieser Provider hätten nach der Aktivierung des neuen Schlüssels keinen DNS-Dienst und könnten beispielsweise Webseiten nicht mehr öffnen. Warum das so ist, haben wir im Kasten „DNS-Funktion im Überblick“ zusammengefasst. Dort beschreiben wir auch, was ein DNS-Resolver für Anwender tut und anderes mehr.