/ Internet / DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

DNSSEC_-_Kontrolle_ist_besser-b8ab21c36be096ee-54f20ebd5f0311ab.jpeg
Heinrich Voigts an März 29, 2017 - 9:45 am in Internet

Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

Die Internet Corporation for Assigned Names and Numbers hat eine Testseite in Betrieb genommen, mit der sich DNS-Betreiber auf den bevorstehenden DNSSEC-Schlüsseltausch der Root-Zone vorbereiten können. Wer validierende DNS-Resolver betreibt, kann darüber feststellen, ob sie auch am 11. Oktober noch funktionieren oder ob der Resolver ein Problem birgt. Das sagte der CTO der ICANN, David Conrad, beim 58. Treffen der ICANN in Kopenhagen.

Anders als herkömmliche Resolver, prüfen validierende Resolver, ob eine DNS-Information unverfälscht und vertrauenswürdig ist, bevor sie sie an den anfragenden PC weitergeben. Dafür brauchen sie aber einen aktuellen Root-Key – und da liegt das Problem: Ab dem 11. Oktober will die ICANN einen neuen Root-Key in der Root-Zone einsetzen (Key Signing Key) und eigentlich sind Schlüsselwechsel bei signierten Domains keine große Sache mehr; sie laufen in der Regel geräuschlos ab. Doch die große Ausnahme ist bisher die Root-Zone: Bisher scheuten die Techniker vor dem Tausch des Key Signing Key der Root-Zone zurück, weil die DNSSEC-Spezifikation in genau diesem Punkt schwammig geraten ist. Sie gewährleistet nicht hundertprozentig, dass sämtliche validierenden Resolver der Welt den Tausch dieses Schlüssels wirklich mitmachen.

Ursprünglich sollte der erste KSK-Wechsel nach einer Laufzeit von fünf Jahren stattfinden, also bereits 2015. Denn je länger ein DNSSEC-Schlüssel in Betrieb ist, desto mehr Zeit haben Angreifer, ihn zu knacken und dann falsche DNS-Informationen in Umlauf zu bringen. Doch das Risiko musste die ICANN eingehen, da ja ein gangbares Szenario für den KSK-Wechsel der Root-Zone gefehlt hat. Jetzt, nachdem viele Unklarheiten beseitigt und etliche Details geregelt sind, fühlen sich die ICANN-Techniker ausreichend gerüstet. Resolver, die gemäß RFC 5011 ausgelegt sind, sollten für einen automatisierten Schlüsselwechsel vorbereitet sein. Betreibern solcher Resolver könne der Test helfen, etwaige Konfigurationsfehler zu finden, so Conrad.

Zu denen, die laut Conrad den Schlüsseltausch von Hand planen, gehört überraschenderweise Google. Deren Resolver sind bedeutsam, weil sie einen beträchtlichen Teil der weltweit 750 Millionen DNSSEC-Nutzer beliefern. Allerdings erwartet Conrad im Oktober keine schlechten Nachrichten von Google. Überhaupt gab sich der CTO zuversichtlich für den Schlüsselwechsel. Für die Teilnahme am Test ist eine Anmeldung erforderlich. Administratoren oder Entwickler, die den Schlüssel manuell ziehen wollen, werden hier fündig.

Selbst validieren

Die DNS-Rootzone ist seit Juli 2010 signiert. Sie liefert kryptografisch abgesicherte DNS-Antworten. Anhand dieser Informationen kann ein Empfänger feststellen (z. B. ein Resolver), ob die DNS-Antwort unverfälscht ist und ob sie aus einer vertrauenswürdigen Quelle stammt. Letzteres ist der Fall, wenn die Validierung ergibt, dass der Absender der Nachricht zur hierarchisch organisierten Vertrauenskette gehört, die den signierten Teil des Domain Name System bildet und deren Wurzel die DNS-Root-Zone ist.

DNS-Resolver betreiben inzwischen viele Provider, darunter etwa der Kabelanbieter Unitymedia, aber auch Google und viele andere. Wer validierte DNS-Informationen von einem Provider bezieht, solle diesen befragen, ob er vorbereitet sei, fordert Conrad auf. Alternativ kann man DNS-Informationen, die Browser für Surf-Sitzungen beziehen, auch selbst mittels eines Plug-Ins der tschechischen Registry CZ.NIC prüfen. (dz)

Read more on: Source

Kommentare sind deaktiviert