Am 11. Oktober ändert die ICANN zum ersten Mal die kryptografischen Schlüssel, die dazu beitragen, die Sicherheit im Domain Name System (DNS) zu gewährleisten. Dies ist ein wichtiger Schritt, um das Internet zu sichern und zu schützen. Es wird das erste Mal sein, dass das Root-KSK Schlüsselpaar seit seiner Generierung im Jahr 2010 geändert wird.
„Es ist entscheidend, dass Internet Service Provider und Netzbetreiber weltweit sicherstellen, dass sie auf diese Änderungen vorbereitet sind, da andernfalls ihre Nutzer eventuell nicht mehr in der Lage sein werden, Domain-Namen aufzurufen und dadurch Seiten im Internet nicht mehr zu erreichen sind“, sagte David Conrad, Chief Technology Officer der ICANN. „Netzbetreiber sollten sicherstellen, dass sie über eine aktuelle Software verfügen, DNSSEC aktiviert haben und überprüfen, dass ihre Systeme automatisch ihre Schlüssel aktualisieren können oder dass sie über Prozesse verfügen, die ein manuelles Update auf den neuen Schlüssel bis zum 11. Oktober 2017 um 16:00 UTC ermöglichen.
Der mehrstufige KSK-Erneuerungsprozess beinhaltet im Wesentlichen die Generierung eines neuen kryptografischen Schlüsselpaars und die anschließende Verteilung des neuen öffentlichen Schlüssels. Internet Service Provider, Unternehmensnetzbetreiber und andere, die eine DNSSEC-Validierung durchführen, müssen sicherstellen, dass ihre Systeme mit dem öffentlichen Teil des neuen KSK aktualisiert werden, um einen störungsfreien Internetzugang für ihre Nutzer zu gewährleisten.
Der KSK-Key spielt eine wichtige Rolle beim Schutz von Internetnutzern vor Domain-Namen-Hijacking durch die Validierung von DNS-Daten. Wie der Ausdruck schon vermuten lässt, ist Domain-Namen-Hijacking die böswillige Übernahme eines Domain-Namens mit der kriminellen Absicht, eventuelle finanzielle Vorteile daraus zu erzielen. Zum Beispiel können Versuche, auf die Bankdaten zuzugreifen, dazu führen, dass Nutzer auf eine Webseite weitergeleitet werden, die persönliche Daten und Passwörter stiehlt. Die Änderung erfolgt aufgrund von Empfehlungen der ICANN-Gemeinschaft. Die Gemeinschaft empfahl die kryptografischen Schlüssel, die zur Signierung der Root-Zone verwendet werden, regelmäßig zu ändern, um die Integrität der Infrastruktur, die von diesen Schlüsseln abhängt, zu erhalten und um die Einhaltung bewährter Sicherheitspraktiken zu gewährleisten.
Entwickler von Software, die die DNSSEC-Validierung unterstützt, sollten sicherstellen, dass ihr Produkt RFC 5011 unterstützt. Wenn ihre Produkte dies tun, wird der KSK automatisch zur entsprechenden Zeit aktualisiert. Für Software, die nicht RFC 5011-konform ist oder für Software, die nicht für die Verwendung konfiguriert ist, kann die neue „trust-anchor-file“ manuell aktualisiert werden.
Für alle, die weitere Informationen zur KSK-Erneuerung benötigen, hat die ICANN Hilfsmittel veröffentlicht.