Wenn es Hackern gelingt, einen DNSSEC-Schlüssel zu brechen, können sie authentisch aussehende jedoch unrichtige DNS-Antworten verbreiten. Folglich ist es notwendig die Schlüssel periodisch zu ändern. Bei der Root-Zone ist dies besonders riskant.
Wer validierende DNS-Resolver betreibt kann darüber feststellen ob sie ebenfalls am 11. Oktober noch funktionieren oder ob der Resolver ein Problem birgt. Das sagte der CTO der ICANN » David Conrad « beim 58. Treffen der ICANN in Kopenhagen.
Anders als herkömmliche Resolver, prüfen validierende Resolver, ob eine DNS-Information unverfälscht und vertrauenswürdig ist, bevor sie sie an den anfragenden PC weitergeben. Dafür brauchen sie aber einen aktuellen Root-Key ? und da liegt das Problem: Ab dem 11. Oktober will die ICANN einen neuen Root-Key in der Root-Zone einsetzen (Key Signing Key) und eigentlich sind Schlüsselwechsel bei signierten Domains keine große Sache mehr; sie laufen in der Regel geräuschlos ab. Doch die große Ausnahme ist bisher die Root-Zone: Bisher scheuten die Techniker vor dem Tausch des Key Signing Key der Root-Zone zurück, weil die DNSSEC-Spezifikation in ebendies diesem Punkt schwammig geraten ist. Sie gewährleistet nicht hundertprozentig – dass sämtliche validierenden Resolver der Welt den Tausch dieses Schlüssels wirklich mitmachen.
Ursprünglich sollte der erste KSK-Wechsel nach einer Laufzeit von fünf Jahren stattfinden, also bereits 2015. Denn je länger ein DNSSEC-Schlüssel in Betrieb ist, desto weiterhin Zeit haben Angreifer, ihn zu knacken und dann falsche DNS-Informationen in Umlauf zu bringen. Doch das Risiko musste die ICANN eingehen, da ja ein gangbares Szenario für den KSK-Wechsel der Root-Zone gefehlt hat. Jetzt, anschließend viele Unklarheiten beseitigt und etliche Details geregelt sind, fühlen sich die ICANN-Techniker ausreichend gerüstet. Resolver die gemäß RFC 5011 ausgelegt sind, sollten für einen automatisierten Schlüsselwechsel vorbereitet sein. Betreibern solcher Resolver könne der Test helfen etwaige Konfigurationsfehler zu finden so Conrad.
Zu denen die laut Conrad den Schlüsseltausch von Hand planen, gehört überraschenderweise Google. Deren Resolver sind bedeutsam, weil sie einen beträchtlichen Teil der weltweit 750 Millionen DNSSEC-Nutzer beliefern. Allerdings erwartet Conrad im Oktober keine schlechten Nachrichten von Google. Überhaupt gab sich der CTO zuversichtlich für den Schlüsselwechsel. Für die Teilnahme am Test ist eine Anmeldung erforderlich. Administratoren oder Entwickler die den Schlüssel manuell ziehen wollen, werden hier fündig.
Selbst validieren
Die DNS-Rootzone ist seit Juli 2010 signiert. Sie liefert kryptografisch abgesicherte DNS-Antworten. Anhand dieser Informationen kann ein Empfänger feststellen (z. B. ein Resolver), ob die DNS-Antwort unverfälscht ist und ob sie aus einer vertrauenswürdigen Quelle stammt. Letzteres ist der Fall; wenn die Validierung ergibt. Dass Absender der Nachricht zur hierarchisch organisierten Vertrauenskette gehört die den signierten Teil des Domain Name System bildet und deren Wurzel die DNS-Root-Zone ist.
DNS-Resolver betreiben inzwischen viele Provider darunter etwa der Kabelanbieter Unitymedia auch noch Google und viele andere. Wer validierte DNS-Informationen von einem Provider bezieht solle diesen befragen ob er vorbereitet sei, fordert Conrad auf. Alternativ kann man DNS-Informationen die Browser für Surf-Sitzungen beziehen, auch selbst mittels eines Plug-Ins der tschechischen Registry CZ.NIC prüfen.
Kommentare