Iana: Defekter Tresor verzögert DNSSEC-Root-Key-Zeremonie
Das regelmäßige DNSSEC-Update, bei dem die sogenannte Root-Zone des Domain Name System neu signiert wird, muss vorerst verschoben werden, wie die dafür zuständige Organisation Iana mitteilt. Der Grund dafür ist ein kaputter Tresor, der nicht mehr geöffnet werden kann. Das berichtet das IT-Magazin The Register.
Wie die Organisation auf ihrer Mailingliste(öffnet im neuen Fenster) mitteilt, wurde die eigentlich für den vergangenen Dienstagabend, 12. Februar, vorgesehene Root-Key-Zeremonie verschoben. Demnach sei bei einer routinemäßigen Prüfung eine Gerätestörung festgestellt worden, "die uns daran hindert, die Zeremonie wie ursprünglich geplant erfolgreich durchzuführen. Das Problem verhindert den Zugang auf einen der sicheren Tresore, die das Material für die Zeremonie enthalten".
Komplizierte Zeremonie muss erstmals verschoben werden
Das DNSSEC-System basiert auf der Idee, dass die Informationen der sogenannten DNS Zones durch deren Verwalter mit einem privaten Schlüssel signiert werden. Die in dem Resource Record bereitgestellten Informationen wie etwa die IP-Adresse für eine Domain sind so authentifiziert, was das DNS-System vor Manipulationen schützen soll. Dabei muss natürlich auch die oberste DNS-Ebene, die Root-Zone, signiert werden.
Dies geschieht mit den Zone Signing Keys, die wiederum mit den Key Signing Key (KSK) signiert werden. Dabei handelt es sich um ein Schlüsselpaar aus öffentlichem und privatem Schlüssel, wobei der private Schlüssel eben in einem Tresor geschützt wird. Diese Vorsichtsmaßnahmen sind notwendig, da mit möglichst großer Sorgfalt verhindert werden muss, dass Angreifer Zugriff auf den privaten Schlüssel erhalten. Denn sollte dies doch passieren, wäre damit das Vertrauen in die Korrektheit der DNS-Informationen, das DNSSEC eigentlich bieten soll, nicht mehr möglich. Details zum Ablauf der Zeremonie erklärt der Anbieter Cloudflare(öffnet im neuen Fenster).
Wie die Iana weiter schreibt, verursache das nun aufgetretene Problem die erste Verzögerung der Zeremonie überhaupt in deren zehnjähriger Geschichte. Einem Update der Organisation zufolge(öffnet im neuen Fenster) werden am kommenden Freitag, dem 14. Februar, Reparaturarbeiten an dem Tresor durchgeführt. Sollten diese erfolgreich abgeschlossen werden können, soll die Zeremonie am Samstag, dem 15. Februar, durchgeführt werden. Probleme mit DNSSEC selbst sollen die Verzögerung jedoch nicht verursachen, schreibt die Iana.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.