Die Gültigkeit des aktuellen Vertrauensankers läuft am 11.10.18 aus und ab dann gilt nur noch der neue, der längst schon im Umlauf ist. Akribisch hat die ICANN die Umstellung vorbereitet.

Dabei kann es aber auch zu Ausfällen des Domain Name System kommen (DNS). Die meisten Internet-Dienste funktionieren dann nicht mehr. Auf das DNS stützen sich Beispielsweise Mail-Clients, Messenger, Web-Browser und viele andere Programme. Die Achillessehne des DNS, beim Schlüsselwechsel, ist der DNS-Resolver – fehlt einem Resolver der neue Vertrauensanker, kann er DNS-Anfragen von Internet-Geräten nicht zu IP-Adressen auflösen. Ziele im Internet können ohne die IP-Adressen nicht angesteuert werden.

Der alte Schlüssel wird am 11.10.2018,16:00 Uhr UTC aus dem Domain Name System entfernt (Coordinated Universal Time). In Europa entspricht das 18:00 Uhr CEST (Central European Summer Time). Resolver, die den Anker noch im Cache haben, dürfen ihn entsprechend seinem TTL-Eintrag dann noch 48 Stunden lang nutzen, bevor sie ihn tilgen. Erst wenn diese allerletzte Frist abgelaufen ist, dürften sich also lauernde Probleme manifestieren. Das betrifft den Zeitraum vom 11.10.2018, 18:00 Uhr bis zum 13.10.2018, 17:59.

Die Internet-Provider unterhalten die wichtigsten und größten Resolver bezogen auf die Anzahl der versorgten Teilnehmer. Telemetriedaten der ICANN deuten darauf hin, dass die Provider auf den Schlüsselwechsel vorbereitet sind. Einen Resolver kann aber jede Firma unterhalten und auch jeder Nutzer. In virtuellen Maschinen, in Docker-Containern, in Routern und sogar in VPN-Clients kann ein solcher Resolver stecken. Seit September 2017 hat die ICANN weltweit 24.000 IP-Adressen gezählt, die einen Resolver mit veraltetem Vertrauensanker melden.

Für VPN-Clients gilt: Möglichst vor dem Stichtag aktualisieren Sie die Software. Laut den Telemetriedaten von ICNN gibt es mindestens einen VPN-Anbieter, der in seinen iOS- und Android-Clients einen validierenden Resolver mit veraltetem Vertrauensanker verwendet hat. Seit einigen Wochen gibt es dafür Updates. Um welchen VPN-Anbieter es sich handelt kann ICNN nicht sagen, sodass sicherheitshalber jeder VPN-Client aktualisiert werden sollte.

Die wichtigsten IP-Adressen für Domains im Internet zu notieren könnte theoretisch helfen. Dafür eignet sich die hosts-Datei (/etc/hosts auf Unix-Systemen, %systemroot%\system32\drivers\etc auf Windows). In der Praxis hilft das aber nicht, wenn man eine moderne Webseite ansteuern will. Viele davon sind nur noch verschlüsselt zu erreichen und dabei kommen TLS-Zertifikate zum Einsatz, die an den Domainnamen gebunden sind. Kann der nicht aufgelöst werden, scheitert der Aufbau der TLS-Verbindung. Es ist zwar möglich, eine IP-Adresse in den Browser einzugeben, aber der kommt dann oft nur bis zu einem Redirector, der seinerseits auf eine TLS-verschlüsselte Domain verweist.

Auf der VoIP-Technik gründen mittlerweile viele Telefonanschlüsse. Ein VoIP-Telefon oder Client stützt sich ebenfalls auf den DNS-Dienst für die Registrierung bei seinem SIP-Server. Sollte dies scheitern, funktioniert die Telefonie von diesem Client aus nicht. Eine Ausweichmöglichkeit ist das Mobilfunkgerät.

Wenn das Smartphone nur knirscht und keine Telefonate zustande kommen, versucht möglicherweise das Smartphone VoLTE für den Telefoniedienst zu nutzen. Auch dieser hängt am DNS. LTE abzuschalten sollte helfen ,um die Telefonie auf UMTS oder GSM zurückzuzwingen.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE