Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dusan Zivadinovic 5

DNSSEC: ISC läutet Schlüsseltausch für BIND9 ein Update

DNSSEC: ISC läutet den Schlüsseltausch für BIND9 ein

Bild: c't

Das Update ist für alle BIND9-Betreiber wichtig, die die Software zum Validieren von signierten DNS-Antworten einsetzen, aber kein automatisches Schlüssel-Update eingerichtet haben.

ISC hat eine neue Version seiner DNS-Server-Software herausgebracht. Die wichtigste Änderung betrifft die Validierung von signierten DNS-Replys: Die aktuelle BIND-Version 9.11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.

Anzeige

Damit können alle Nutzer, die BIND9 zum Validieren einsetzen, aber keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.

BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto verwenden, holen sich den aktuellen Schlüssel automatisch, sobald er publiziert ist.

Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt, ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie braucht, muss also das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.

Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Anmeldung bei der ICANN erforderlich. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.

[Update]: 21.4.17, 12:01, das Key-File ist nun separat erhältlich. (dz)

5 Kommentare

Themen:

Anzeige
  1. DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

    Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

  2. Mit allen protokollarischen Würden: Neuer KSK für die DNS-Rootzone im Anmarsch

    Mit allen protokollarischen Würden: Neuer KSK für die Rootzone

    Das Protokoll liest sich wie ein Hofzeremoniell aus Cyberland: Hof gehalten wurde Donnerstagnacht in der Key Management Facility, 18155 Technology Drive, Culpepper, Virginia. Zweck des Ganzen: Ein neuer Masterschlüssel fürs DNS wurde benötigt.

  3. DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    DNSSEC-Schlüsseltausch 2017: ICANN setzt Testseite für Resolver auf

    Sollte es Angreifern gelingen, einen DNSSEC-Schlüssel zu knacken, können sie glaubwürdig aussehende, aber falsche DNS-Replys verbreiten. Deshalb müssen Schlüssel ab und zu gewechselt werden. Bei der Root-Zone ist das eine heikle Sache.

  4. Zugriffe auf Fedoraproject.org teils gestört

    Zugriffe auf Fedoraproject.org teils gestört

    Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

  1. DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    DNSSEC: Knot-Resolver für den Rollover des Root-Keys vorbereiten

    Die DNS-Root-Zone bekommt bald einen neuen kryptografischen Schlüssel, der an alle DNS-Resolver weltweit verteilt werden muss. Knot gehört zu den Resolvern, die den Key normalerweise automatisch laden.

  2. DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    DNSSEC: PowerDNS für den Root-Key-Rollover vorbereiten

    Ab dem 11. Juli bekommt die DNS-Root-Zone einen neuen kryptografischen Schlüssel. Das kann validierende DNS-Resolver vor Probleme stellen, denn ohne den neuen Key können sie signierte DNS-Antworten nicht validieren. Dieser Beitrag zeigt, wie man den PowerDNS-Recursor aktuallisiert.

  3. DNSSEC: Neuer Vertrauensanker für Dnsmasq

    DNSSEC: Neuer Vertrauensanker für Dnsmasq

    Die DNS-Root-Zone hat seit kurzem einen neuen kryptografischen Schlüssel. Diesen müssen alle DNS-Resolver weltweit beziehen. Dnsmasq ist zwar kein typischer Resolver, aber auch bei diesem Server kann es knirschen, wenn der Root-Key fehlt.

  1. Firefox Quantum auf 170 Millionen Geräten installiert

    Firefox Quantum auf 170 Millionen Geräten installiert

    Mozilla feiert, denn Firefox Quantum kommt bei den Nutzern gut an. Inzwischen läuft das "größte Update aller Zeiten" auf 170 Millionen Endgeräten. Auch die Firefox-Apps profitieren von der Aufmerksamkeit.

  2. Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Abgas-Skandal: Unzulässige Abschalteinrichtung im VW Touareg – KBA verordnet Rückruf

    Die Halter von 25.800 VW Touareg erhalten demnächst Post von VW. Ihre Autos sollen eine neue Motorsoftware bekommen.

  3. Klartext: The Real GT

    Audi

    Schnelle Kombis sind die eigentlichen GT-Wagen, denn während die Maseratis dieser Welt in leeren Hallen am Batteriejogger vereinsamen, fressen Autos wie Audis RS 4 Avant Kilometer, als gäbe es morgen keine. Sie schaffen den GT-Spagat einfach besser

  4. Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    Fallout 4 VR im Livestream: Mit der Vive im Wasteland unterwegs

    c't-Redakteur Jan-Keno Janssen stellt sich heute nur mit einer Vive bewaffnet den Herausforderungen der Postapokalypse in Fallout 4 VR. Der Livestream startet um 16 Uhr. Übrigens: Das Spiel läuft auch mit Oculus Rift, allerdings nicht wirklich rund.

Anzeige