Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Anzeige

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

  2. Mit allen protokollarischen Würden: Neuer KSK für die DNS-Rootzone im Anmarsch

    Mit allen protokollarischen Würden: Neuer KSK für die Rootzone

    Das Protokoll liest sich wie ein Hofzeremoniell aus Cyberland: Hof gehalten wurde Donnerstagnacht in der Key Management Facility, 18155 Technology Drive, Culpepper, Virginia. Zweck des Ganzen: Ein neuer Masterschlüssel fürs DNS wurde benötigt.

  3. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  4. Zugriffe auf Fedoraproject.org teils gestört

    Zugriffe auf Fedoraproject.org teils gestört

    Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

  1. DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    Die DNS-Root-Zone bekommt bald einen neuen kryptografischen Schlüssel, der an alle DNS-Resolver weltweit verteilt werden muss. Knot gehört zu den Resolvern, die den Key normalerweise automatisch laden.

  2. DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    Ab dem 11. Juli bekommt die DNS-Root-Zone einen neuen kryptografischen Schlüssel. Das kann validierende DNS-Resolver vor Probleme stellen, denn ohne den neuen Key können sie signierte DNS-Antworten nicht validieren. Dieser Beitrag zeigt, wie man den PowerDNS-Recursor aktuallisiert.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Das ungekürzte Originalvideo "2 Girls 1 Cup" und andere schöne Filme

    YouTube und Co. - unsere wöchentliche Telepolis-Videoschau

  2. Google I/O 2016: Google Home legt sich mit Amazons Echo an

    Google Home: sprachgesteuerter Assistent fürs Wohnzimmer greift Amazon an

    Google hat seine eigene Wanze fürs Wohnzimmer vorgestellt: "Home" ist ein WLAN-Lautsprecher, der Befehle per Sprache empfängt. Unter anderem bucht er Tickets, steuert Smart-Home-Zubehör und beantwortet allgemeine Fragen.

  3. Lobby-Bericht E-Privacy: Wie die Industrie starken Datenschutz bekämpft

    Lobby-Bericht E-Privacy: Wie die Industrie starken Datenschutz bekämpft

    Mit Cocktail-Debatten und anhaltenden Kampagnen versucht vor allem die Online-Werbewirtschaft laut der Analyse "Big Data Is Watching You" die Schutzbestimmungen in der geplanten E-Privacy-Verordnung aufzuweichen.

  4. Autonome Minibusse: Easymiles im Interview

    Audi tat sich damit hervor, mit dem A8 das erste normale Auto gebracht zu haben, das im Stau keine Hand mehr am Lenkrad verlangt. Doch im Langsamfahrbereich gibt es längst vollautonome Fahrkabinen

Anzeige