Störungen in DNSSEC: Signaturen von dlv.isc.org expired
Eilmeldung: Seit kurz nach 17 Uhr können einige Nameserver DNSSEC-Domains nicht mehr auflösen, so dass es teilweise zu großflächigen Störungen kommt. Diese Nameserver haben in ihrer Konfiguration noch Domain Lookaside Validation (DLV) aktiviert (Bind: dnssec-lookaside auto;). In der Vergangenheit wurden darüber spezielle DNSSEC-Records abgefragt, die das Internet Konsortium ISC für die Weltgemeinschaft als Trust-Anker bereitgestellt hat, solange nicht alle Registries selbst DNSSEC konnten.
Seit DNSSEC ausreichend weit verbreitet ist, hat das das ISC vor einigen Jahren alle DLV-Einträge in seiner Zone gelöscht und diese (leer) weiterbetrieben. In den Konfigurationen der Nameserver ist DLV jedoch weiterhin (optional) aktiv geblieben und ist wohl auch bis heute Default-Config von Bind/Named. -Denn prinzipiell sollte dies auch belanglos sein...
Aber: Anscheinend sind heute Nachmittag seinerseits die DNSSEC-Records von dlv.isc.org abgelaufen, womit aus Sicht der Namserver diese Zone nicht mehr leer, sondern ungültig ist. Der beliebte DNSSEC-Validierungsdienst DNSviz zeigte das für dlv.isc.org schnell, siehe Bild. Prinzipiell sollte auch das verschmerzbar sein -- den Auswirkungen nach scheint jedoch zumindest Bind einen solchen Zustand nicht gut zu finden und wird Validierungsfehler aus.
SysAdmins mit DNSSEC-Fehlern auf den Namservern sollten in ihrer named.conf den Eintrag dnssec-lookaside auf dnssec-lookaside no; setzen.
Credits: Einen herzlichen Dank von uns bei dieser Gelegenheit an Jan-Piet Mens, der diesen Vorfall ebenfalls sehr schnell und transparent debuggt und öffentlich gemacht hat.
Update: Durch den Tweet von Jan-Piet Mens ist ISC gegen 19:30 Uhr auf das Problem aufmerksam geworden und hat mittlerweile reagiert.
Kommentare
5 Antworten zu Störungen in DNSSEC: Signaturen von dlv.isc.org expired
This was causing recursive clients to shoot to the limit in bind, thus denying all other connections. Thank you for finding this. You just saved me hours of work.
Das hat bei einem meiner bind schon vor einigen Tagen angefangen und hat heute dann weitere Server erwischt.
Das Problem wurde erstmal per dnssec-validation no; abgestellt. Heute habe ich dann überall dnssec-lookaside no; gesetzt.
Wenn das auf einem Bind schon vor Tagen angefangen hat, dann stimmt da mit ihm aber was nicht.
Ferndiagnose: Das kann eigentlich nur sein, wenn seine lokale Systemzeit bereits in der Zukunft war.
Ich vermute das www.heise.de gestern davon betroffen, denn die Seite war eine ganze Zeit lang nicht erreichbar.
DasProblem scheint gefixed (siehe https://dnsviz.net/d/dlv.isc.org/dnssec/)