KSK-2018 Rollover

Der Key-Signing-Key der Root-Zone ("." KSK) soll am 11. Oktober 2017 am 11.Oktober 2018 um 16:00 UTC zum ersten Mal in der Geschichte von DNSSEC ausgetauscht werden. Dies ist der einzige Schlüssel, dem ein Resolver vertrauen muss, um DNSSEC-signierte Antworten validieren zu können. Alle bekannten halbwegs aktuellen Versionen der Resolver sollten den neuen Schlüssel automatisch lernen, sofern sie vor dem 11. September 2017 installiert wurden oder ein Update des Herstellers erhalten haben.

Vertraut der Resolver nur dem alten KSK werden DNSSEC-Validierungen ab 11. Oktober 2018 16:00 UTC fehlschlagen.

Weitere Informationen sind bei ICANN unter https://www.icann.org/resources/pages/ksk-rollover zu finden.


Nötige Konfiguration

Aktuelle Checklisten und Konfigurationsanleitungen sind auch unter https://www.icann.org/dns-resolvers-updating-latest-trust-anchor zu finden.

RFC 5011

Moderne Resolver (BIND, Unbound) verwenden den in RFC 5011 - Automated Updates of DNS Security (DNSSEC) Trust Anchors spezifizierten Mechanismus zum Austausch eines vertrauenswürdigen Schlüssels. Vereinfacht gesagt muss der neue KSK für mindestens 30 Tage ("Hold-Down Timer") in der Root-Zone gelistet und vom alten KSK signiert sein. Danach wird der neue Key ebenfalls als Trust-Anchor aufgenommen.

Die 30 Tage Hold-Down Timer bedeuten, dass Neuinstallationen von validierenden Resolvern nach dem 11. September 2017 den neuen KSK-2017 nicht über den RFC5011-Mechanismus lernen können! Hier muss manuell eingegriffen werden!

BIND

BIND verwendet seit mindestens Version 9.8.0 bei Nutzung der Option

dnssec-validation auto;

einen "managed-key" mit dem in RFC 5011 spezifizierten Mechanismus. Ein weiteres Indiz ist das Vorhandensein einer Datei "managed-keys.bind" mit aktuellem Zeitstempel im Verzeichnis, welches unter options { directory "xxx"; } spezifiziert ist

Weitere Informationen sind unter https://www.isc.org/blogs/2017-root-key-rollover-what-does-it-mean-for-bind-users/ zu finden.


Manuelle Konfiguration / Update

Sofern der Nameserver kein RFC 5011 unterstützt oder erst nach dem 11. September neu installiert wird muss der neue KSK-2017 dem Server anderweitig bekannt gemacht werden. Dies geschieht im optimalen Fall durch den Hersteller, der die aktuellen Schlüssel im Sourcecode mitliefert. Hier muss kein Add-Hold Timer abgewartet werden, dem neuen Schlüssel wird sofort vertraut.

BIND

BIND enthält ab Version 9.10.5 den neuen Schlüssel (siehe https://kb.isc.org/article/AA-01490/0/BIND-9.10.5-Release-Notes.html). Die entsprechenden Änderungen wurden zum Teil von den Distributionen auch in die älteren stabilen Versionen zurückportiert.

DistributionVersiongefixtes PaketKommentar
Debiansid/buster1:9.10.3.dfsg.P4-12.6
Debianstretch1:9.10.3.dfsg.P4-12.3+deb9u3

derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease wird Ende September erwartet

https://lists.debian.org/debian-stable-announce/2017/09/msg00001.html

Debianjessie1:9.9.5.dfsg-9+deb8u14

derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease nicht vor 11. Oktober!

https://lists.debian.org/debian-stable-announce/2017/09/msg00001.html

Debianwheezy
derzeit kein Update geplant!
Ubuntu14.04 LTS (Trusty)
bislang kein Update
Ubuntu16.04 LTS (Xenial)9.10.3-P4-Ubuntu (veröffentlicht 2017-09-18)BIND 9.10.3-P4-Ubuntu enthält den neuen root-KSK
SLESSLES 11 SP4
bislang kein Update bekannt
SLESSLES 12 SP2
bislang kein Update bekannt
OpenSuSELeap 42.29.9.9-P1
RedhatRHEL 79.9.4-50
RedhatRHEL 69.8.2-0.62.rc1.3


Unbound

Unbound enthält ab Version 1.6.1 den neuen KSK. Die entsprechenden Änderungen wurden zum Teil von den Distributionen auch in die älteren stabilen Versionen zurückportiert.

DistributionVersiongefixtes PaketKommentar
Debiansid/buster1.6.5-1
Debianstretch1.6.0-3+deb9u1

derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease wird Ende September erwartet

https://lists.debian.org/debian-stable-announce/2017/09/msg00002.html

Debianjessie1.4.22-3+deb8u3

derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease nicht vor 11. Oktober!

https://lists.debian.org/debian-stable-announce/2017/09/msg00002.html

Debianwheezy
derzeit kein Update geplant!
Ubuntu14.04 LTS (Trusty)
unbekannt
Ubuntu16.04 LTS (Xenial)
unbekannt
SLESSLES 11 SP4
unbekannt
SLESSLES 12 SP2
unbekannt
OpenSuSELeap 42.21.5.10unbound-anchor fügt neuen Key in /var/lib/unbound/root.key hinzu
RedhatRHEL 7
unbekannt
RedhatRHEL 6
unbekannt


Manueller Download

Sofern die Nameserver-Software den Download des neuen root-KSK nicht unterstützt, und auch kein Update verfügbar ist, kann der root-KSK immer noch per Hand von der ICANN herunter geladen werden. Dann muss er in der entsprechenden "managed-keys.bind"-Datei (im Falle von BIND9) oder /var/lib/unbound/root.key (im Falle von Unbound) hinzugefügt werden. Wichtig ist hier, den alten root-KSK-key nicht zu überschreiben oder heraus zu löschen!

Die Icann stellt auch ein Pythonskript zur Verfügung, das den Download durchgeführt.

Man sollte sich aber generell fragen, ob in diesem Fall die verwendete Nameserver-Software nicht schon zu alt ist, und allgemein für ein Update fällig wäre.