Heute ist DNSSEC-Day

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Heute ist DNSSEC-Day

Peer Heinlein

Hallo, liebe Leute.

Bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird
der DNSSEC-Schlüssel getauscht.

Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den
seit vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.

Dabei muß auch bedacht werden, daß in Router- oder DSL-Boxen und anderen
Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.

2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde
aufgrund der hohen Verbreitung alter Resolver abgeblasen...

Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt,
sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein
individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.

Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
die Mails an DNSSEC-Domains nicht mehr senden kann.

Grundsätzlich bringen aktuelle BIND-VErsionen 9.11 die neuen Keys mit.
Bei älteren Versionen müßten Keys ggf. eingespielt werden. Prüfen kann
man seinen lokalen Bind auch durch einen Blick in die Config.
Idealerweise existiert eine Datei bind.keys, die auch den neuen Key
beinhaltet:

        # This key (20326) is to be published in the root zone in 2017.


        # Servers which were already using the old key (19036) should
        # roll seamlessly to this new one via RFC 5011 rollover. Servers
        # being set up for the first time can use the contents of this
        # file as initializing keys; thereafter, the keys in the
        # managed key database will be trusted and maintained
        # automatically.
        . initial-key 257 3 8
"AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
                +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
                ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
                0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
                oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
                RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
                R1AkUTV74bU=";


Peer



--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Heute ist DNSSEC-Day

Ralf Hildebrandt
> Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
> Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
> die Mails an DNSSEC-Domains nicht mehr senden kann.

https://www.icann.org/dns-resolvers-checking-current-trust-anchors
beschreibt für BIND, unbound PowerDNS Recursor, Knot u.v.a.m. wie
man prüfen kann.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Heute ist DNSSEC-Day

Lieutenat-Commander DATA
In reply to this post by Peer Heinlein
Hallo zusammen,

ich habe noch nen älteren Bind 9.8.4, und habe versucht diesem ein
Update zu geben, indem ich ihm die Konfig "dnssec-validation auto;"
verpasst habe.

Im Log stand nach einem Neustart des Bind dann auch:
***
managed-keys-zone ./IN: Initializing automatic trust anchor management
for zone '.'; DNSKEY ID 20326 is now trusted, waiving the normal 30-day
waiting period.
***

In der bind.keys hat sich aber nichts geändert.
Ist das nun trotzdem aktualisiert, oder besteht noch Handlungsbedarf?

Gruß,
DATA




Am 11.10.2018 um 09:34 schrieb Peer Heinlein:

>
> Hallo, liebe Leute.
>
> Bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird
> der DNSSEC-Schlüssel getauscht.
>
> Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den
> seit vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.
>
> Dabei muß auch bedacht werden, daß in Router- oder DSL-Boxen und anderen
> Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.
>
> 2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde
> aufgrund der hohen Verbreitung alter Resolver abgeblasen...
>
> Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt,
> sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein
> individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.
>
> Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
> Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
> die Mails an DNSSEC-Domains nicht mehr senden kann.
>
> Grundsätzlich bringen aktuelle BIND-VErsionen 9.11 die neuen Keys mit.
> Bei älteren Versionen müßten Keys ggf. eingespielt werden. Prüfen kann
> man seinen lokalen Bind auch durch einen Blick in die Config.
> Idealerweise existiert eine Datei bind.keys, die auch den neuen Key
> beinhaltet:
>
>          # This key (20326) is to be published in the root zone in 2017.
>
>
>          # Servers which were already using the old key (19036) should
>          # roll seamlessly to this new one via RFC 5011 rollover. Servers
>          # being set up for the first time can use the contents of this
>          # file as initializing keys; thereafter, the keys in the
>          # managed key database will be trusted and maintained
>          # automatically.
>          . initial-key 257 3 8
> "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
>                  +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
>                  ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
>                  0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
>                  oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
>                  RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
>                  R1AkUTV74bU=";
>
>
> Peer
>
>
>

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Heute ist DNSSEC-Day

Martin Steigerwald
In reply to this post by Ralf Hildebrandt
Ralf Hildebrandt - 11.10.18, 10:27:
> > Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver
> > des Nutzers, der die Webseite nicht aufrufen kann, bzw. des
> > Providers, der die Mails an DNSSEC-Domains nicht mehr senden kann.
>
> https://www.icann.org/dns-resolvers-checking-current-trust-anchors
> beschreibt für BIND, unbound PowerDNS Recursor, Knot u.v.a.m. wie
> man prüfen kann.

Also mit dem Omnia Turris hier komme ich noch ins Netz. DNSSEC scheint
immer noch zu funktionieren. Ich vermute, die haben den Knot Resolver in
Turris OS längst entsprechend aktualisiert.

--
Martin