Nachdem der alte Schlüssel aus dem DNS entfernt worden ist, konnte dieser über den "Time to Live"-Eintrag (TTL) noch 48 Stunden lang verwendet werden. Innerhalb dieses Zeitraums, der erst heute um 18 Uhr deutscher Zeit endet, hätten sich also Probleme bei der Validierung von DNS-Anfragen via DNSSEC ergeben können. Dies war bis jetzt allerdings nicht der Fall. Die wichtigsten Resolver werden von großen Internet-Providern, welche sich auf den Wechsel vorbereitet haben, verwaltet.
Einige Administratoren reagierten nicht
Dennoch gab es Resolver-Administratoren, welche die Nachrichten zum Schlüsselwechsel nicht rechtzeitig gelesen oder zunächst ignoriert haben. Laut Heise ist dies beispielsweise einem Administrator mit PowerDNS-Resolver passiert. Anstelle von DNS-Antworten wurden lediglich noch Fehlermeldungen zurückgegeben. Bis der neue Verschlüsselungsanker über ein Ubuntu-Update ausgeliefert wurde, hat der Administrator die Validierung auf Kosten der Sicherheit komplett deaktiviert.Derzeit bleibt noch unklar, in welchen Intervallen der Schlüsselwechsel zukünftig stattfinden wird. Seit dem letzten Wechsel sind jetzt acht Jahre vergangen. Es gilt als vergleichsweise unwahrscheinlich, dass die ICANN erneut einen entsprechend langen Zeitraum abwartet.
2018-10-13T15:07:00+02:00Tobias Rduch
Alle Kommentare zu dieser News anzeigen