Was passiert, wenn das Internet ein großes Sicherheitsupdate bekommt?

Weitere Sicherheitschlüssel zum Schutz des Domain Name Systems (DNS), sind einsatzbereit. Allerdings könnte dies für Nutzer von DNS Servern, die noch nicht aufgerüstet haben, negativ enden. [...]

Egal ob wir bereit dafür sind oder nicht, das Upgrade zur Sicherheit des Internets könnte bald online gehen. In der Woche vom 17. September trifft sich die „Internet Corporation for Assigned Names and Numbers“ (ICANN) und entscheidet ob das mehrjährige Projekt des Sicherheitsupgrades für das Internet ein grünes Licht bekommt. Im Speziellen geht es um die zwei wichtigsten kryptographischen Schlüssel, auch bekannt als der Key Signing Keys (KSK) der Kernzone, die die wichtigsten Server des Internets sichert.

„Das Ändern dieser Schlüssel macht sie stärker und ist deswegen ein essenzieller Schritt in Richtung Sicherheit. Genau wie auch ein User regelmäßig seine Passwörter ändern sollte“, so ICANN. Das Update soll gegen Hacker vorbeugen, die zum Beispiel eine Sitzung übernehmen und den User auf eine Seite lotsen, auf der persönliche Informationen gestohlen werden.

Der Übergang vom KSK 2010 zum KSK 2017 hätte eigentlich schon vor einem Jahr stattfinden sollten. Bedenken, das für viele Nutzer Verbindungsprobleme auftreten könnten, wurde der Launch auf den 11. Oktober 2018 verschoben.

Der Übergang zum neuen KSK bedeutet, ein neues kryptografisch öffentliches und privates Keymanagement. Der öffentliche Anteil wird hier an Parteien weitergegeben, die mit bestätigten Resolvern zusammenarbeiten. Diese Resolver nutzen Software, die Webseitennamen wie itwelt.at in numerische IP Adressen umwandelt.

Sowohl Internetanbieter werden dieses Service anbieten, als auch Netzwerkadministratoren in Firmen und andere DNS Resolver. DNS Resolver Softwareentwickler, System Integratoren und Hardware und Software Vertreiber.

Weitere Infos: Root Zone KSK Rollover

ICANN erwartet minimale Auswirkungen für User. Trotzdem wird es eine kleine Anzahl an Nutzern geben, die Probleme haben werden Domain Namen in IP Adressen umzuwandeln. Das bedeutet es gibt Probleme die gewünschte Onlinedestination zu erreichen.

Das Problem ist nicht weitverbreitet, bietet aber trotzdem Grund zur Sorge. „Momentan gibt es eine kleine Anzahl an Sicherheitserweiterungen des DNS, deren Resolver inkorrekt arbeiten. Manche User die auf diese Resolver vertrauen werden sehr wahrscheinlich Probleme haben.“, schreibt ICANN vor kurzen in einem Statement.

Verisign gab vor kurzem bekannt, dass sie seit Anfang des Jahres Betreiber rekursiver Server kontaktierten, wenn diese nur den alten Basisschlüssel angaben. In vielen Fällen konnte keinem eine Verantwortung zugeordnet werden. Dies liegt an der Vielzahl von Anhängern der In-System Programmierung. (ISP) Ende letzten Jahres erhielt ICANN Basisschlüssel die Daten von weiteren Kernserveranbietern signalisieren, sowie Daten von rekursiven Name Servers als die rekursiven Name Server Updates zu Software erhielten, die diese Signale lieferten. Heute hält sich die Zahl von Reporten, das der 2010er Basisschlüssel genutzt wird, bei 7 Prozent.

Was sollten Firmen und andere vom Übergang erwarten, sollte er tatsächlich stattfinden? ICANN sagt, dass User die mit einem Resolver mit dem neuen KSK oder einem Resolver der keine DNSSEC Validierung stattgibt arbeiten werden keinen Einfluss merken. Datenanalysen zeigen, dass mehr als 99 Prozent aller User deren Resolver gültig ist unbeeinträchtigt vom KSK Übergang sein werden.

Firmen sollten bereits ein Softwareupdate durchgeführt haben, dass automatisch die Schlüssel welchselt oder den Schlüssel schon manuell installiert haben. Sollten sie automatische Updates ausgeschalten haben, müssen sie dies vor dem 10. September ändern oder der Update Mechanismus wird nicht korrekt und zeitgerecht zum Übergang gestartet, so Paul Hoffman, Cheftechnologe bei ICANN.

„Nehmen Sie zur Kenntnis, dass sie das Update durchführen sollen egal ob der Übergang am 11. Oktober stattfinden wird oder nicht“, sagt Hoffman. „Der neue Schlüssel ist bereits Teil der vertrauenswürdigen Schlüssel im Kernsystem, darum sollte er auch ein Basisschlüssel für alle werden.“

Ein vor kurzem erschienener ICANN Artikel mit dem englischen Titel „What To Expect During the Root KSK Rollover“ listet die spezifischen Bedenken auf:

• Wenn keiner der Resolver eines Users das neue KSK in ihrer Basisschlüssel Konfiguration habt, wird der User Probleme in der Namensauflösung haben. (typischerweise „Server Error“) Diese treten meist innerhalb der ersten 48 Stunden auf. Es ist unmöglich vorherzugehen wann Anbieter betroffener Resolver bemerken, dass die Validierung für sie nicht funktioniert.
• Wenn dieser Defekt auftritt und der User hat, wie meistens üblich, mehrere Resolver konfiguriert, wird die System Software die anderen Resolver, die der User konfiguriert hat, ausprobieren. Das kann die DNS Auflösung entschleunigen, da das System immer wieder den Resolver ausprobiert, der nicht funktioniert, bis es zu Resolvern switched die vorbereitet sind. Der User erhält weiterhin DNS Auflösung und bemerkt den Geschwindigkeitsverlust gar nicht.
• Wenn keine der Resolver eines Users auf den Übergang vorbereitet wurden (wenn alle Resolver zum Beispiel von einer Organisation gemanaged werden und diese keine Vorbereitungen getroffen haben) wird der User Störungen innerhalb der erste 48 Stunden nach dem Übergang bemerken.
• User werden unterschiedliche Systeme erkennen, die eine Störung oder Komplettversagen anzeigen. Dies hängt vom laufenden Programm an und wie dieses auf DNS Störungen reagieren. Bei Browsern wird es so sein, dass Webseiten nicht verfügbar sein werden (Auch möglich ist es, dass Bilder auf einer bereits angezeigten Webseite nicht angezeigt werden.) In Email Programmen kann es sein, dass der User keine neuen Emails mehr erhalten kann, oder Teile von Nachrichten werden fehlerhaft oder gar nicht angezeigt. Die Störungen häufen sich, bis kein Programm mehr fähig ist neue Informationen vom Internet anzuzeigen.
• Sobald Anbieter erkennen, das ihre Resolver DNSSEC Validierung nicht funktioniert, sollten sie diese Konfiguration temporär ausschalten. So sollte das Problem momentan behoben sein.
• Danach sollte der Anbieter den KSK 2017 so bald wie möglich als Basisschlüssel installieren und die DNSSEC Validierung wieder einschalten. ICANN.org bietet Anleitungen um Basisschlüssel für allgemeine Resolver Software upzudaten.

„Die Schlüssel Übergabe ist keine neue Technologie. Eigentlich wussten wir schon beim ersten KSK, den wir 2010 in der Kernzone hinzugefügt haben, dass wir ihn eines Tages verändern müssen.“, so Hoffman. „Mit dem Übergang machen wir das DNS robuster und ebnen zusätzlich den Weg für weitere Übergaben, für wenn sie in der Zukunft gebraucht werden.“

 

*Michael Cooney schreibt für Network World.