Direkt zum Inhalt
11.10.2018 - Fachbeitrag

Heute ist DNSSEC-Day: Root-Keys werden getauscht



Liebe Kollegen, bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird der DNSSEC-Schlüssel getauscht. Das kann zu weltweiten Komplikationen führen.

Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.

Dabei muss auch bedacht werden, dass in Router- oder DSL-Boxen und anderen Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.

2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde aufgrund der hohen Verbreitung alter Resolver abgeblasen...

Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt, sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.

Schuld ist in diesem Fall dann jeweils der lokale (veraltete) Resolver des Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der die Mails an DNSSEC-Domains nicht mehr senden kann.

Grundsätzlich bringen aktuelle BIND-Versionen 9.11 die neuen Keys mit. Bei älteren Versionen müssten Keys ggf. eingespielt werden. Prüfen kann man seinen lokalen Bind auch durch einen Blick in die Config. Idealerweise existiert eine Datei bind.keys, die auch den neuen Key beinhaltet:

 

# This key (20326) is to be published in the root zone in 2017.

 # Servers which were already using the old key (19036) should

 # roll seamlessly to this new one via RFC 5011 rollover. Servers

 # being set up for the first time can use the contents of this

 # file as initializing keys; thereafter, the keys in the

 # managed key database will be trusted and maintained

 # automatically.

 . initial-key 257 3 8 "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3

 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv

 ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF

 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e

 oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd

 RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN

 R1AkUTV74bU=";


 

Auch Heise berichtete schon:
DNS-Schlüsselwechsel: Am 11.10. ist es so weit
DNS-Schlüsselwechsel: Wie man DNS-Ausfälle erkennt, was dagegen hilft

 

Kommentare

11 Antworten zu Heute ist DNSSEC-Day: Root-Keys werden getauscht

w-Icon
Wolfgang Fast
22. October 2018 um 10:55

Hallo,
Seit einiger Zeit betreibe ich BIND9 als Alternativ-DNS-Server auf Raspberry Pi in einem Windows-Netz. Seit dem letzten Update/Upgrade funktioniert zwar die lokale Auflösung, nicht aber die im Internet. Fehlermeldung in syslog:
Oct 20 17:19:27 RPiDNS named[3811]: validating @0x55421098: . DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for '.'
Oct 20 17:19:27 RPiDNS named[3811]: validating @0x55421098: . DNSKEY: please check the 'trusted-keys' for '.' in named.conf.
Oct 20 17:19:27 RPiDNS named[3811]: error (no valid KEY) resolving './DNSKEY/IN': 192.203.230.10#53
Keine der relevanten Dateien in /etc/bind wurden verändert.
Es wäre toll, wenn mir jemand von Euch helfen könnte. Im Raspberry-Forum habe ich erst gar keine Antwort bekommen und auch sonst wußte keiner weiter.
Gruß Wolfgang

p-Icon
Peer Heinlein
22. October 2018 um 11:14

Die Antworten stehen oben im Blog-Artikel.

<em>Bei älteren Versionen müssten Keys ggf. eingespielt werden. Prüfen kann man seinen lokalen Bind auch durch einen Blick in die Config. Idealerweise existiert eine Datei bind.keys, die auch den neuen Key beinhaltet:</em>

Bitte machen.

w-Icon
Wolfgang Fast
23. October 2018 um 19:17

Hallo Peer Heinlein,

danke für Deine Antwort, mit der - ehrlich gesagt - nicht viel anfangen kann. Wenn das Paket BIND9 (Debian 7) fehlerfrei aktualisiert ist, gehe ich davon aus, daß auch die bind.keys entsprechend aktuell ist. Es muß für die oben beschriebenen Fehler also eine andere Ursache geben. Was kann ich tun, um der Fehlerursache auf die Spur zu kommen?

p-Icon
Peer Heinlein
23. October 2018 um 19:22

Die Datei bind.keys öffnen und nachschauen, was drin steht.

w-Icon
Wolfgang Fast
24. October 2018 um 10:28

Das steht drin:
/* $Id: bind.keys,v 1.7 2011/01/03 23:45:07 each Exp $ */
# The bind.keys file is used to override the built-in DNSSEC trust anchors
# which are included as part of BIND 9. As of the current release, the only
# trust anchors it contains are those for the DNS root zone ("."), and for
# the ISC DNSSEC Lookaside Validation zone ("dlv.isc.org"). Trust anchors
# for any other zones MUST be configured elsewhere; if they are configured
# here, they will not be recognized or used by named.
#
# The built-in trust anchors are provided for convenience of configuration.
# They are not activated within named.conf unless specifically switched on.
# To use the built-in root key, set "dnssec-validation auto;" in
# named.conf options. To use the built-in DLV key, set
# "dnssec-lookaside auto;". Without these options being set,
# the keys in this file are ignored.
#
# This file is NOT expected to be user-configured.
#
# These keys are current as of January 2011. If any key fails to
# initialize correctly, it may have expired. In that event you should
# replace this file with a current version. The latest version of
# bind.keys can always be obtained from ISC at https://www.isc.org/bind-keys.

managed-keys {
# ISC DLV: See https://www.isc.org/solutions/dlv for details.
# NOTE: This key is activated by setting "dnssec-lookaside auto;"
# in named.conf.
dlv.isc.org. initial-key 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2
brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
TDN0YUuWrBNh";

# ROOT KEY: See https://data.iana.org/root-anchors/root-anchors.xml
# for current trust anchor information.
# NOTE: This key is activated by setting "dnssec-validation auto;"
# in named.conf.
. initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0=";
};

Das Datum in der 1. Zeile deutet zwar auf eine veraltete Version hin, bei "dlv.isc.org" habe ich aber keine neuere Version entdecken können.
Gruß Wolfgang

p-Icon
Peer Heinlein
24. October 2018 um 10:32

Ich vergaß zu schreiben:

Bitte nicht nur die Datei öffnen und nachschauen, ob der Key drin ist, sondern bitte den oben zitierten Key nachtragen für den Fall, daß er nicht enthalten sein sollte.

w-Icon
Wolfgang Fast
24. October 2018 um 12:12

Habe probehalber "bind.keys" in "bind.keys.save" umbenannt, BIND9 restart. In syslog treten die gleichen Fehlermeldungen auf. Daher habe ich folgende Fragen:
1. Wo wird "bind.keys" aufgerufen?
2. Wo bekomme ich den zitierten Key her und
3. Woher weiß ich, ob es der richtige Key ist?
Gruß Wolfgang

p-Icon
Peer Heinlein
24. October 2018 um 14:04

Summary: Du hast immernoch nicht gemacht, was ich empfohlen hatte. Warum, weiß ich nicht. Ich leiste gerne ehrenamtlich Support und Unterstützung, aber irgendwann wird's schwierig wenn jemand partout das nicht macht, was die Lösung ist. Ich kann dann nicht mehr helfen.

Zu Deinen Fragen:

Zu 1: Von Bind.
Zu 2: Aus dem Blogeintrag hier. Steht oben über dieser Diskussion. Grauer Kasten.
Zu 3: a) mir glauben, b) weil dann das Problem weg ist, c) weil ich erklären könnte wie man es sonst macht/holt/verifiziert, aber das verträgt sich nicht für jemanden, der erklärtermaßen von diesen Systemen nicht viel versteht und verstehen will. Man kann nicht sagen "das ist alles nicht mein Ding" und dann auf Expert-Level Details klären. Das geht einfach nicht. Kurzfassung: Frage per DNS-Query die root-Nameserver nach dem Key für ".". Wenn man das jetzt nicht versteht, ist das auch okay, aber dann ist das so und das ist ja dann auch nicht schlimm.

w-Icon
Wolfgang Fast
24. October 2018 um 17:20

Habe den Key für "." aus obigen grauen Kasten anstelle des "."-Key in meiner bind.keys eingefügt. BIND9 Restart. Syslog:
Oct 24 16:02:16 RPiDNS named[24498]: validating @0x5658c048: . DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for '.'
Oct 24 16:02:16 RPiDNS named[24498]: validating @0x5658c048: . DNSKEY: please check the 'trusted-keys' for '.' in named.conf.
Oct 24 16:02:16 RPiDNS named[24498]: error (no valid KEY) resolving './DNSKEY/IN': 193.0.14.129#53
Oct 24 16:02:17 RPiDNS named[24498]: validating @0x72f01470: . DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for '.'
Diese Aktion war also erfolglos. Wie geht es weiter?
Ich habe nie gesagt, "das ist alles nicht mein Ding". Ganz im Gegenteil: Das ist mein Ding. Aber ich komme hier eben nicht weiter und bin Dir sehr dankbar, wenn Du einen Teil Deiner Zeit opferst, um - vielleicht nicht nur mir - zu helfen. Hatte sogar schon überlegt, Deinen 3-tägigen Kurs zu besuchen aber 1500 Euro sind einfach zu teuer.
Gruß Wolfgang

w-Icon
Wolfgang Fast
27. October 2018 um 09:55

Keine Antwort ist auch eine Antwort.
Schade, ich hatte gehofft, daß mir ein Experte helfen kann und sei es nur, um mir zu zeigen, wie dumm ich bin.

Gruß Wolfgang

p-Icon
Peer Heinlein
27. October 2018 um 10:37

Wir helfen Dir gerne und nicht, um Dir zu zeigen, dass Du dumm bist, sondern um Dein Problem zu lösen und unser Wissen zu teilen.

Aber wir haben auch einen Job mit 16-Stunden-Schichten und ein Privatleben. Ich bitte um Verständnis, daß Du ggf. auch mal drei Tage bis zum Wochenende warten mußt, bevor ich wieder Zeit für Dich finde.

Es sieht so aus, als ob Du das in die bind.keys vielleicht falsch/nicht eingefügt hast?!

Bitte:

<ul>
<li> Stelle sicher, daß Du ein BIND in einer Version größer 9.8 hast (Kommando: named -V)</li>
<li>Lade ggf. kurzerhand eine vollständige bind.keys von <a href="https://ftp.isc.org/isc/bind9/keys/9.11/bind.keys.v9_11&quot; rel="nofollow">https://ftp.isc.org/isc/bind9/keys/9.11/bind.keys.v9_11</a&gt; und ersetze damit Deine bisherige.</li>
</ul>