Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.701.081 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Anzeige

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

  2. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  3. Zugriffe auf Fedoraproject.org teils gestört

    Zugriffe auf Fedoraproject.org teils gestört

    Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

  4. Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

    Eigentlich vergibt nur die ICANN Top-Level-Domains und die IETF schafft neue Protokolle, auch für das Domain Name System. Jetzt wankt diese Arbeitsteilung wegen eines schwelenden Streits um die Domain .homenet.

  1. DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    Ab dem 11. Juli bekommt die DNS-Root-Zone einen neuen kryptografischen Schlüssel. Das kann validierende DNS-Resolver vor Probleme stellen, denn ohne den neuen Key können sie signierte DNS-Antworten nicht validieren. Dieser Beitrag zeigt, wie man den PowerDNS-Recursor aktuallisiert.

  2. DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    Die DNS-Root-Zone bekommt bald einen neuen kryptografischen Schlüssel, der an alle DNS-Resolver weltweit verteilt werden muss. Knot gehört zu den Resolvern, die den Key normalerweise automatisch laden.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Welt-Pressefoto des Jahres 2017: Die Nominierungen stehen fest

    Zivilisten während der Kämpfe um die irakische Stadt Mossul

    Bilder von Krieg und Frieden, Liebe und Hass, Natur und Naturzerstörung – mehr als 4500 Fotografen haben sich am World Press Photo Contest für das beste Pressefoto des Jahres 2017 beteiligt, nun steht die Vorauswahl für die besten Aufnahmen fest.

  2. Neue Captcha-Technik beobachtet User beim Rätsel lösen

    Face ID iPhone X

    Beim Einloggen sollen Captchas Menschen akzeptieren und automatische Bot-Systeme aussperren. Scharfe Systeme arbeiten hier bereits mit Gesichtserkennung. Forscher aus Atlanta haben jetzt ein System vorgestellt, dass dem User beim Rätseln zusieht.

  3. Erpressung von HBO: Hacker veröffentlichen mehr Material

    HBO, Hacker

    Seit einigen Wochen muss sich der US-Bezahlsender HBO mit Lösegeldforderungen einer Hackergruppe herumschlagen. Diese soll 1,5 Terabyte an Daten kopiert haben und droht mit der stückweisen Veröffentlichung.

  4. 2018er iPads: Neue Apple-Tablets im Anmarsch

    iPad iOS 11

    Einem von Apple gestellten Zulassungsantrag zufolge steht die Einführung neuer iPad-Modelle bevor – sie kommen womöglich im März.

Anzeige