Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

Key-Rollover: Manuell und automatisch

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. Mit allen protokollarischen Würden: Neuer KSK für die DNS-Rootzone im Anmarsch

    Mit allen protokollarischen Würden: Neuer KSK für die Rootzone

    Das Protokoll liest sich wie ein Hofzeremoniell aus Cyberland: Hof gehalten wurde Donnerstagnacht in der Key Management Facility, 18155 Technology Drive, Culpepper, Virginia. Zweck des Ganzen: Ein neuer Masterschlüssel fürs DNS wurde benötigt.

  2. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  3. DNSSEC: Verfahren für Schlüsseltausch in der Rootzone festgelegt

    DNSSEC: Verfahren für Schlüsseltausch in der Rootzone festgelegt

    Das weltweite DNS mit Security Extensions, das einen wichtigen Teil des Internet-Verkehrs absichert, läuft seit dem Start mit demselben Root-Key. Der erste Schlüsseltausch dürfte heikel werden – die Prozedur soll rund eineinhalb Jahre dauern.

  4. DNSSEC-Schlüsseltausch 2017 – die Vorbereitungen laufen

    Schlüssel, Sicherheit, DNS, DNSSEC

    Wer am 11. Oktober 2017 meint, dass sein Internet kaputt ist, der sollte bei seinem Provider nachfragen, ob das mit dem DNSSEC-Schlüsseltausch zu tun hat. Bis dahin ist es zwar noch ein wenig hin, doch die Vorbereitungen laufen auf Hochtouren.

  1. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  2. DNSSEC: Lügendetektor fürs LAN

    Einmal eingerichtet, kann man DNSSEC im Windows-Server per Mausklick ein- und ausschalten – praktisch für Experimente.

    Ob PC, Tablet oder Smartphone, kein Netzwerk-Client prüft, ob DNS-Antworten unverfälscht und vertrauenswürdig sind. So können Hacker arglose Nutzer über eingeschleuste DNS-Antworten auf ihre eigenen Websites umleiten, um etwa Passwörter auszuspähen. Dagegen hilft ein Resolver im LAN, der DNS-Antworten mit DNSSEC validiert.

  3. DNSSEC und DANE: Hilfestellung zur Mail-Verschlüsselung

    Wie Mail-Cients SMIMEA und DNSSEC nutzen: S/MIME-fähige Mail-Clients signieren Mails automatisch und senden den öffentlichen Schlüssel gleich mit (1). Der Empfänger-Mail-Client fragt im DNS nach dem SMIMEA- Record der Absenderadresse (2, 3). Der Resolver validiert und reicht die Antwort des DNS-Servers an den Client weiter (4, 5). Wenn die aus dem DNS und der Mail erhaltenen Fingerprints identisch sind, verschlüsselt der Client die Mail und schickt sie ab (6, 7).

    Fachleute kritisieren zurzeit das eigentlich zuverlässige Mail-Verschlüsselungsverfahren PGP, weil Konzeptschwächen die Verbreitung behindern. Aber auch die bequemere Mail-Verschlüsselung namens S/MIME hat erhebliche Schwächen. DNSSEC und DANE, zwei miteinander kombinierte Verfahren, versprechen Abhilfe.

  1. Reportage: Mercedes Classic Center Fellbach

    Im Mercedes Classic Center Fellbach

    Im Mercedes Classic Center werden alle je gebauten Mercedes- und Daimler-Modelle betreut, gepflegt, repariert, restauriert und notfalls wieder neu aufgebaut. Wenn man möchte, bekommt man einen viele Jahrzehnte alten Neuwagen

  2. Zwei Jahre Apple Watch: Fast so groß wie Rolex

    Apple Watch in Berlin

    In dieser Woche feiert die Computeruhr aus Cupertino runden Geburtstag. Mac & i blickt zurück.

  3. Kommentar zu Amazons Echo Look: 1 und 3 und 2 und los!

    Kommentar: Amazons Echo Look - 1 und 3 und 2 und los!

    Mit dem Look erweitert Amazon seine Echo-Serie um ein Gerät mit Kamera, das Modetipps gibt. Dabei vergisst der Online-Händler, an der eigentlichen Baustelle zu arbeiten: Alexa.

  4. Karl Klammer wurde auf dem Mac gestaltet

    Microsofts Clippy wurde auf dem Mac gestaltet

    In einem Interview hat Kevan Atteberry, der Illustrator des von vielen Nutzern hassgeliebten Office-Assistenten, Details über die Entstehung verraten.

Anzeige