Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

Key-Rollover: Manuell und automatisch

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. Mit allen protokollarischen Würden: Neuer KSK für die DNS-Rootzone im Anmarsch

    Mit allen protokollarischen Würden: Neuer KSK für die Rootzone

    Das Protokoll liest sich wie ein Hofzeremoniell aus Cyberland: Hof gehalten wurde Donnerstagnacht in der Key Management Facility, 18155 Technology Drive, Culpepper, Virginia. Zweck des Ganzen: Ein neuer Masterschlüssel fürs DNS wurde benötigt.

  2. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  3. DNSSEC-Schlüsseltausch 2017 – die Vorbereitungen laufen

    Schlüssel, Sicherheit, DNS, DNSSEC

    Wer am 11. Oktober 2017 meint, dass sein Internet kaputt ist, der sollte bei seinem Provider nachfragen, ob das mit dem DNSSEC-Schlüsseltausch zu tun hat. Bis dahin ist es zwar noch ein wenig hin, doch die Vorbereitungen laufen auf Hochtouren.

  4. Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Eigentlich vergibt nur die ICANN Top-Level-Domains und die IETF schafft neue Protokolle, auch für das Domain Name System. Jetzt wankt diese Arbeitsteilung wegen eines schwelenden Streits um die Domain .homenet.

  1. DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    Die DNS-Root-Zone bekommt bald einen neuen kryptografischen Schlüssel, der an alle DNS-Resolver weltweit verteilt werden muss. Knot gehört zu den Resolvern, die den Key normalerweise automatisch laden.

  2. DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    Ab dem 11. Juli bekommt die DNS-Root-Zone einen neuen kryptografischen Schlüssel. Das kann validierende DNS-Resolver vor Probleme stellen, denn ohne den neuen Key können sie signierte DNS-Antworten nicht validieren. Dieser Beitrag zeigt, wie man den PowerDNS-Recursor aktuallisiert.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Parallels Desktop 13: Windows in der Mac-Touch-Bar

    Parallels Desktop 13: Windows in der Mac-Touch-Bar

    Parallels hat eine neue große Mac-Version seiner Virtualisierungslösung vorgestellt. Die bringt mehr Produktivität und eine volle Unterstützung für die OLED-Funktionstastenleiste des aktuellen MacBook Pro.

  2. Ideologische Grabenkämpfe in Griechenland

    "Nazismus und Kommunismus können niemals zwei Seiten einer Gleichung sein" - Streit über den Europäischen Tag zur Erinnerung an die Opfer des Kommunismus und des Nazismus

  3. Test: Sondors Fold Pedelec

    Pedelec Sondors Fold

    Das Sondors Fold macht Monsterspaß! Ein übergeschnapptes BMX-Rad, ein Pedelec mit Heckmotor und 20-Zoll-Fatbikereifen. Für rund 1000 Euro muss man dafür Abstriche hinnehmen – erstaunlich ist aber, wie gut das Fold trotzdem ist

  4. Google: Algorithmus entfernt Wasserzeichen in Fotos automatisch

    Google: Algorithmus entfernt Wasserzeichen in Fotos automatisch

    In einem aktuellen Forschungspapier demonstriert Google, wie einfach Wasserzeichen in digitalen Fotos automatisch entfernt werden können. Gleichzeitig zeigt der Konzern Möglichkeiten auf, wie Fotografen und Bildagenturen dies verhindern können.

Anzeige