Heute ist DNSSEC-Day

Lieutenat-Commander DATA lt-cmd.data at gmx.de
Do Okt 11 10:39:48 CEST 2018


Hallo zusammen,

ich habe noch nen älteren Bind 9.8.4, und habe versucht diesem ein 
Update zu geben, indem ich ihm die Konfig "dnssec-validation auto;" 
verpasst habe.

Im Log stand nach einem Neustart des Bind dann auch:
***
managed-keys-zone ./IN: Initializing automatic trust anchor management 
for zone '.'; DNSKEY ID 20326 is now trusted, waiving the normal 30-day 
waiting period.
***

In der bind.keys hat sich aber nichts geändert.
Ist das nun trotzdem aktualisiert, oder besteht noch Handlungsbedarf?

Gruß,
DATA




Am 11.10.2018 um 09:34 schrieb Peer Heinlein:
> 
> Hallo, liebe Leute.
> 
> Bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird
> der DNSSEC-Schlüssel getauscht.
> 
> Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den
> seit vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.
> 
> Dabei muß auch bedacht werden, daß in Router- oder DSL-Boxen und anderen
> Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.
> 
> 2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde
> aufgrund der hohen Verbreitung alter Resolver abgeblasen...
> 
> Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt,
> sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein
> individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.
> 
> Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
> Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
> die Mails an DNSSEC-Domains nicht mehr senden kann.
> 
> Grundsätzlich bringen aktuelle BIND-VErsionen 9.11 die neuen Keys mit.
> Bei älteren Versionen müßten Keys ggf. eingespielt werden. Prüfen kann
> man seinen lokalen Bind auch durch einen Blick in die Config.
> Idealerweise existiert eine Datei bind.keys, die auch den neuen Key
> beinhaltet:
> 
>          # This key (20326) is to be published in the root zone in 2017.
> 
> 
>          # Servers which were already using the old key (19036) should
>          # roll seamlessly to this new one via RFC 5011 rollover. Servers
>          # being set up for the first time can use the contents of this
>          # file as initializing keys; thereafter, the keys in the
>          # managed key database will be trusted and maintained
>          # automatically.
>          . initial-key 257 3 8
> "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
>                  +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
>                  ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
>                  0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
>                  oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
>                  RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
>                  R1AkUTV74bU=";
> 
> 
> Peer
> 
> 
> 



Mehr Informationen über die Mailingliste Postfixbuch-users