KSK-2018 Rollover
Der Key-Signing-Key der Root-Zone ("." KSK) soll am 11. Oktober 2017 am 11.Oktober 2018 um 16:00 UTC zum ersten Mal in der Geschichte von DNSSEC ausgetauscht werden. Dies ist der einzige Schlüssel, dem ein Resolver vertrauen muss, um DNSSEC-signierte Antworten validieren zu können. Alle bekannten halbwegs aktuellen Versionen der Resolver sollten den neuen Schlüssel automatisch lernen, sofern sie vor dem 11. September 2017 installiert wurden oder ein Update des Herstellers erhalten haben.
Vertraut der Resolver nur dem alten KSK werden DNSSEC-Validierungen ab 11. Oktober 2018 16:00 UTC fehlschlagen.
Weitere Informationen sind bei ICANN unter https://www.icann.org/resources/pages/ksk-rollover zu finden.
Nötige Konfiguration
Aktuelle Checklisten und Konfigurationsanleitungen sind auch unter https://www.icann.org/dns-resolvers-updating-latest-trust-anchor zu finden.
RFC 5011
Moderne Resolver (BIND, Unbound) verwenden den in RFC 5011 - Automated Updates of DNS Security (DNSSEC) Trust Anchors spezifizierten Mechanismus zum Austausch eines vertrauenswürdigen Schlüssels. Vereinfacht gesagt muss der neue KSK für mindestens 30 Tage ("Hold-Down Timer") in der Root-Zone gelistet und vom alten KSK signiert sein. Danach wird der neue Key ebenfalls als Trust-Anchor aufgenommen.
Die 30 Tage Hold-Down Timer bedeuten, dass Neuinstallationen von validierenden Resolvern nach dem 11. September 2017 den neuen KSK-2017 nicht über den RFC5011-Mechanismus lernen können! Hier muss manuell eingegriffen werden!
BIND
BIND verwendet seit mindestens Version 9.8.0 bei Nutzung der Option
dnssec-validation auto;
einen "managed-key" mit dem in RFC 5011 spezifizierten Mechanismus. Ein weiteres Indiz ist das Vorhandensein einer Datei "managed-keys.bind" mit aktuellem Zeitstempel im Verzeichnis, welches unter options { directory "xxx"; } spezifiziert ist
Weitere Informationen sind unter https://www.isc.org/blogs/2017-root-key-rollover-what-does-it-mean-for-bind-users/ zu finden.
Manuelle Konfiguration / Update
Sofern der Nameserver kein RFC 5011 unterstützt oder erst nach dem 11. September neu installiert wird muss der neue KSK-2017 dem Server anderweitig bekannt gemacht werden. Dies geschieht im optimalen Fall durch den Hersteller, der die aktuellen Schlüssel im Sourcecode mitliefert. Hier muss kein Add-Hold Timer abgewartet werden, dem neuen Schlüssel wird sofort vertraut.
BIND
BIND enthält ab Version 9.10.5 den neuen Schlüssel (siehe https://kb.isc.org/article/AA-01490/0/BIND-9.10.5-Release-Notes.html). Die entsprechenden Änderungen wurden zum Teil von den Distributionen auch in die älteren stabilen Versionen zurückportiert.
| Distribution | Version | gefixtes Paket | Kommentar |
|---|---|---|---|
| Debian | sid/buster | 1:9.10.3.dfsg.P4-12.6 | |
| Debian | stretch | 1:9.10.3.dfsg.P4-12.3+deb9u3 | derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease wird Ende September erwartet https://lists.debian.org/debian-stable-announce/2017/09/msg00001.html |
| Debian | jessie | 1:9.9.5.dfsg-9+deb8u14 | derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease nicht vor 11. Oktober! https://lists.debian.org/debian-stable-announce/2017/09/msg00001.html |
| Debian | wheezy | derzeit kein Update geplant! | |
| Ubuntu | 14.04 LTS (Trusty) | bislang kein Update | |
| Ubuntu | 16.04 LTS (Xenial) | 9.10.3-P4-Ubuntu (veröffentlicht 2017-09-18) | BIND 9.10.3-P4-Ubuntu enthält den neuen root-KSK |
| SLES | SLES 11 SP4 | bislang kein Update bekannt | |
| SLES | SLES 12 SP2 | bislang kein Update bekannt | |
| OpenSuSE | Leap 42.2 | 9.9.9-P1 | |
| Redhat | RHEL 7 | 9.9.4-50 | |
| Redhat | RHEL 6 | 9.8.2-0.62.rc1.3 |
Unbound
Unbound enthält ab Version 1.6.1 den neuen KSK. Die entsprechenden Änderungen wurden zum Teil von den Distributionen auch in die älteren stabilen Versionen zurückportiert.
| Distribution | Version | gefixtes Paket | Kommentar |
|---|---|---|---|
| Debian | sid/buster | 1.6.5-1 | |
| Debian | stretch | 1.6.0-3+deb9u1 | derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease wird Ende September erwartet https://lists.debian.org/debian-stable-announce/2017/09/msg00002.html |
| Debian | jessie | 1.4.22-3+deb8u3 | derzeit nur in https://wiki.debian.org/StableUpdates, Pointrelease nicht vor 11. Oktober! https://lists.debian.org/debian-stable-announce/2017/09/msg00002.html |
| Debian | wheezy | derzeit kein Update geplant! | |
| Ubuntu | 14.04 LTS (Trusty) | unbekannt | |
| Ubuntu | 16.04 LTS (Xenial) | unbekannt | |
| SLES | SLES 11 SP4 | unbekannt | |
| SLES | SLES 12 SP2 | unbekannt | |
| OpenSuSE | Leap 42.2 | 1.5.10 | unbound-anchor fügt neuen Key in /var/lib/unbound/root.key hinzu |
| Redhat | RHEL 7 | unbekannt | |
| Redhat | RHEL 6 | unbekannt |
Manueller Download
Sofern die Nameserver-Software den Download des neuen root-KSK nicht unterstützt, und auch kein Update verfügbar ist, kann der root-KSK immer noch per Hand von der ICANN herunter geladen werden. Dann muss er in der entsprechenden "managed-keys.bind"-Datei (im Falle von BIND9) oder /var/lib/unbound/root.key (im Falle von Unbound) hinzugefügt werden. Wichtig ist hier, den alten root-KSK-key nicht zu überschreiben oder heraus zu löschen!
Die Icann stellt auch ein Pythonskript zur Verfügung, das den Download durchgeführt.
Man sollte sich aber generell fragen, ob in diesem Fall die verwendete Nameserver-Software nicht schon zu alt ist, und allgemein für ein Update fällig wäre.