Störungen in DNSSEC: Signaturen von dlv.isc.org expired

Eilmeldung: Seit kurz nach 17 Uhr können einige Nameserver DNSSEC-Domains nicht mehr auflösen, so dass es teilweise zu großflächigen Störungen kommt. Diese Nameserver haben in ihrer Konfiguration noch Domain Lookaside Validation (DLV) aktiviert (Bind: dnssec-lookaside auto;). In der Vergangenheit wurden darüber spezielle DNSSEC-Records abgefragt, die das Internet Konsortium ISC für die Weltgemeinschaft als Trust-Anker bereitgestellt hat, solange nicht alle Registries selbst DNSSEC konnten.

Seit DNSSEC ausreichend weit verbreitet ist, hat das das ISC vor einigen Jahren alle DLV-Einträge in seiner Zone gelöscht und diese (leer) weiterbetrieben. In den Konfigurationen der Nameserver ist DLV jedoch weiterhin (optional) aktiv geblieben und ist wohl auch bis heute Default-Config von Bind/Named. -Denn prinzipiell sollte dies auch belanglos sein…

Aber: Anscheinend sind heute Nachmittag seinerseits die DNSSEC-Records von dlv.isc.org abgelaufen, womit aus Sicht der Namserver diese Zone nicht mehr leer, sondern ungültig ist. Der beliebte DNSSEC-Validierungsdienst DNSviz zeigte das für dlv.isc.org schnell, siehe Bild. Prinzipiell sollte auch das verschmerzbar sein — den Auswirkungen nach scheint jedoch zumindest Bind einen solchen Zustand nicht gut zu finden und wird Validierungsfehler aus.

SysAdmins mit DNSSEC-Fehlern auf den Namservern sollten in ihrer named.conf den Eintrag dnssec-lookaside auf dnssec-lookaside no; setzen.

Credits: Einen herzlichen Dank von uns bei dieser Gelegenheit an Jan-Piet Mens, der diesen Vorfall ebenfalls sehr schnell und transparent debuggt und öffentlich gemacht hat.

Update: Durch den Tweet von Jan-Piet Mens ist ISC gegen 19:30 Uhr auf das Problem aufmerksam geworden und hat mittlerweile reagiert.

Dieser Beitrag wurde unter News, Security abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Störungen in DNSSEC: Signaturen von dlv.isc.org expired

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.