Roll-over van root KSK uitgesteld

Gisteren heeft ICANN bekend gemaakt het moment waarop de daadwerkelijke root KSK roll-over plaats zou vinden -- 11 oktober aanstaande -- tot nader order uit te stellen. De reden is dat naar verwachting een aanzienlijk aantal internetgebruikers die dag in de problemen zou zijn gekomen. Na de roll-over zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die nog niet van het nieuwe KSK-2017 trust anchor zijn voorzien.

Back out scenario

Hoewel dit natuurlijk een tegenvaller is, is in het roll-over proces rekening gehouden met een dergelijk 'back out scenario'. Naar schatting maken wereldwijd zo'n 750 miljoen mensen (een kwart van alle Internetters) gebruik van een DNSSEC-validerende resolver. De impact van het doorzetten van een roll-over waar de access providers en netwerkbeheerders technisch nog niet klaar voor zijn zou dan ook groot zijn.

Bij zijn beslissing heeft ICANN gebruik gemaakt van statistieken verzameld met het relatief nieuwe RFC 8145-protocol (key tag signaling). Daarmee kunnen validerende resolvers aan een server laten weten welke sleutels zij als trust anchor gebruiken bij het opbouwen van de chain of trust. Op die manier krijgen beheerders van ondertekende domeinen informatie van client-zijde over de voortgang van een key roll-over.

Volgens de meldingen die nu bij beheerders van de root servers binnenkomen heeft meer dan 5% van de rapporterende resolvers alleen het KSK-2010 trust anchor aan boord. Maar RFC 8145 wordt op dit moment alleen ondersteund door recente versies van BIND (9.10.5b1 en 9.11.0b3 en later) en Unbound (1.6.4 en later). Aan de andere kant blijken ook BIND-gebaseerde resolvers die niet valideren toch RFC 8145-berichten te versturen. <>

Hoe nu verder?

Op dit moment onderzoekt ICANN samen met de technische internetgemeenschap waarom te veel van de validerende resolvers nog niet zijn voorzien van het nieuwe trust anchor.

Göran Marby, de directeur van ICANN, heeft de hoop uitgesproken dat de roll-over in het eerste kwartaal van volgend jaar alsnog plaats kan vinden, maar een nieuwe datum is nog niet bekendgemaakt.

Ondertussen raden wij beheerders van validerende resolvers dringend aan hun systemen up-to-date te brengen -- voor zover zij dat nog niet gedaan hebben. De afgelopen maanden hebben we uitgebreid aandacht besteed aan de root KSK roll-over. Hieronder nog een keer een overzicht van de eerder gepubliceerde artikelen met alle technische en praktische informatie om bestaande validerende resolvers van het nieuwe trust anchor te voorzien:

Reacties

  • dinsdag 26 september 2017

    Veilig internet

    Een gevecht op 3 fronten

    Thumb-stop-abuse

    Onze strijd tegen internetabuse

    Lees meer
  • donderdag 31 mei 2018

    Veilig internet

    Hackman hackt Lieke van Lexmond

    Thumb-Hackman-versus-Lieke-veilige-thuisomgeving

    Campagne om veiligheidsbewustzijn te vergroten

    Lees meer
  • dinsdag 7 november 2017

    SIDN Labs

    Slimme dingen van slechte kwaliteit bedreigen betrouwbaarheid internet

    Thumb-IoT-cybercrime

    Open standaarden voor een veilig Internet of Things

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.