Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Anzeige

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

  2. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  3. Zugriffe auf Fedoraproject.org teils gestört

    Zugriffe auf Fedoraproject.org teils gestört

    Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

  4. Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Eigentlich vergibt nur die ICANN Top-Level-Domains und die IETF schafft neue Protokolle, auch für das Domain Name System. Jetzt wankt diese Arbeitsteilung wegen eines schwelenden Streits um die Domain .homenet.

  1. DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    Ab dem 11. Juli bekommt die DNS-Root-Zone einen neuen kryptografischen Schlüssel. Das kann validierende DNS-Resolver vor Probleme stellen, denn ohne den neuen Key können sie signierte DNS-Antworten nicht validieren. Dieser Beitrag zeigt, wie man den PowerDNS-Recursor aktuallisiert.

  2. DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    Die DNS-Root-Zone bekommt bald einen neuen kryptografischen Schlüssel, der an alle DNS-Resolver weltweit verteilt werden muss. Knot gehört zu den Resolvern, die den Key normalerweise automatisch laden.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Vorstellung: Nissan Leaf 2

    Nissan Leaf 2

    Nissan stellt die zweite Version des Bestsellers Leaf vor. Konzeptionell sind die Unterschiede zum Vorgänger, abgesehen vom üblichen Batteriewachstum, gering. Kaizen, die schrittweise Verbesserung, hat sich aber als Erfolgsrezept bewährt, und dabei darum bleiben die Japaner dabei

  2. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  3. Lexus ES in siebter Generation

    Lexus ES

    Nach seiner Vorstellung auf der Peking Motorshow kommt der Lexus ES erstmals auch in Europa auf den Markt. Ab Januar 2019 soll eine modernisierte Version auf Toyotas neuer Basis TNGA mit Hybridantrieb in Europa das etwas größere Standardantriebsmodell Lexus GS ablösen

  4. China bei Elektroautos weit voraus

    China setzt bei Elektoautos Maßstäbe

    Lange waren deutsche Hersteller auf dem wichtigsten Automarkt der Welt kaum zu schlagen. Doch im rasant wachsenden Geschäft mit Elektroautos droht die chinesische Konkurrenz davonzufahren.

Anzeige