Heute ist DNSSEC-Day

Peer Heinlein p.heinlein at heinlein-support.de
Do Okt 11 09:34:36 CEST 2018


Hallo, liebe Leute.

Bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird
der DNSSEC-Schlüssel getauscht.

Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den
seit vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.

Dabei muß auch bedacht werden, daß in Router- oder DSL-Boxen und anderen
Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.

2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde
aufgrund der hohen Verbreitung alter Resolver abgeblasen...

Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt,
sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein
individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.

Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
die Mails an DNSSEC-Domains nicht mehr senden kann.

Grundsätzlich bringen aktuelle BIND-VErsionen 9.11 die neuen Keys mit.
Bei älteren Versionen müßten Keys ggf. eingespielt werden. Prüfen kann
man seinen lokalen Bind auch durch einen Blick in die Config.
Idealerweise existiert eine Datei bind.keys, die auch den neuen Key
beinhaltet:

        # This key (20326) is to be published in the root zone in 2017.


        # Servers which were already using the old key (19036) should
        # roll seamlessly to this new one via RFC 5011 rollover. Servers
        # being set up for the first time can use the contents of this
        # file as initializing keys; thereafter, the keys in the
        # managed key database will be trusted and maintained
        # automatically.
        . initial-key 257 3 8
"AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
                +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
                ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
                0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
                oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
                RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
                R1AkUTV74bU=";


Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin



Mehr Informationen über die Mailingliste Postfixbuch-users