Baby, roll it one more time …
DNS-Root-Zone und KSK-Rollover: Warum der erste Versuch scheiterte
Im Oktober 2017 sollte der für die Sicherheit des Domain Name Systems bedeutsame Hauptschlüssel erstmals im Rahmen üblicher Kryptografie-Hygiene getauscht werden. Nur zwei Wochen vor dem Termin mussten die Fachleute diesen Plan jedoch dringend verschieben, denn anscheinend waren einige wichtige Server nicht mit dem neuen Schlüssel bestückt. Heute ist klar, warum. Und es gibt einen neuen Plan.
Was war passiert? DNS-Entwickler hatten im August 2017 eine neue Version des BIND9-Servers veröffentlicht, der erstmals Telemetriedaten zur Verbreitung des neuen Hauptschlüssels der DNS-Root-Zone liefern sollte (Key Signing Key, KSK). Das war wichtig, denn DNS-Resolver, die ausschließlich den alten Schlüssel nutzen, während in der Root-Zone nur der neue steckt, können gar keine DNS-Anfragen mehr auflösen – für Teilnehmer, die einen solchen Resolver nutzen, ist das Internet kaputt. Vor allem die DNS-Resolver von Providern, die sehr viele Teilnehmer versorgen, hätten also parallel zum alten auch schon den neuen KSK per Telemetrie melden sollen, wenn sie den neuen BIND9-Server nutzten.
Der BIND9-Server lieferte die Telemetriedaten gemäß der noch frischen RFC-Spezifikation 8145. Und seine ersten Meldungen waren besorgniserregend: Obwohl der Schlüsselwechsel (Rollover) mit sehr langem Vorlauf geplant war, hatten manche großen Provider ihn anscheinend versäumt. Den Ergebnissen zufolge drohte der DNS-Dienst bei weltweit jedem vierten Internet-Nutzer auszufallen. Die ICANN sprach zwischenzeitlich von 750 Millionen potenziell Betroffenen.