Heute ist DNSSEC-Day: Root-Keys werden getauscht

Liebe Kollegen, bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird der DNSSEC-Schlüssel getauscht. Das kann zu weltweiten Komplikationen führen.

Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.

Dabei muss auch bedacht werden, dass in Router- oder DSL-Boxen und anderen Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.

2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde aufgrund der hohen Verbreitung alter Resolver abgeblasen…

Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt, sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.

Schuld ist in diesem Fall dann jeweils der lokale (veraltete) Resolver des Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der die Mails an DNSSEC-Domains nicht mehr senden kann.

Grundsätzlich bringen aktuelle BIND-Versionen 9.11 die neuen Keys mit. Bei älteren Versionen müssten Keys ggf. eingespielt werden. Prüfen kann man seinen lokalen Bind auch durch einen Blick in die Config. Idealerweise existiert eine Datei bind.keys, die auch den neuen Key beinhaltet:

# This key (20326) is to be published in the root zone in 2017.
 # Servers which were already using the old key (19036) should
 # roll seamlessly to this new one via RFC 5011 rollover. Servers
 # being set up for the first time can use the contents of this
 # file as initializing keys; thereafter, the keys in the
 # managed key database will be trusted and maintained
 # automatically.
 . initial-key 257 3 8 "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
 ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
 oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
 RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
 R1AkUTV74bU=";

 

Auch Heise berichtete schon:
DNS-Schlüsselwechsel: Am 11.10. ist es so weit
DNS-Schlüsselwechsel: Wie man DNS-Ausfälle erkennt, was dagegen hilft

Dieser Beitrag wurde unter Blog, News veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.