Heute ist DNSSEC-Day
Lieutenat-Commander DATA
lt-cmd.data at gmx.de
Do Okt 11 10:39:48 CEST 2018
Hallo zusammen,
ich habe noch nen älteren Bind 9.8.4, und habe versucht diesem ein
Update zu geben, indem ich ihm die Konfig "dnssec-validation auto;"
verpasst habe.
Im Log stand nach einem Neustart des Bind dann auch:
***
managed-keys-zone ./IN: Initializing automatic trust anchor management
for zone '.'; DNSKEY ID 20326 is now trusted, waiving the normal 30-day
waiting period.
***
In der bind.keys hat sich aber nichts geändert.
Ist das nun trotzdem aktualisiert, oder besteht noch Handlungsbedarf?
Gruß,
DATA
Am 11.10.2018 um 09:34 schrieb Peer Heinlein:
>
> Hallo, liebe Leute.
>
> Bitte denkt dran: Heute ist DNSSEC-Day, d.h. in der Root-Serverzone wird
> der DNSSEC-Schlüssel getauscht.
>
> Uralte DNS-Server, die nie ein Config-Update erfahren haben, kennen den
> seit vor einigen Jahren publizierten neuen DNSSEC-Schlüssel ggf. noch nicht.
>
> Dabei muß auch bedacht werden, daß in Router- oder DSL-Boxen und anderen
> Geräten ggf. veraltete Resolver embedded mit installiert sein könnten.
>
> 2017 sollte der Schlüsseltausch schon einmal stattfinden und wurde
> aufgrund der hohen Verbreitung alter Resolver abgeblasen...
>
> Wann immer es heute zu DNS-bezogenen Schwierigkeiten im Netz kommt,
> sollte an den DNSSEC-Change gedacht werden. Dazu gehören allgemein
> individuelle Nicht-Erreichbarkeiten von Webseiten und Mailadressen.
>
> Schuld ist in dem Fall dann jeweils der lokale (veraltete) Resolver des
> Nutzers, der die Webseite nicht aufrufen kann, bzw. des Providers, der
> die Mails an DNSSEC-Domains nicht mehr senden kann.
>
> Grundsätzlich bringen aktuelle BIND-VErsionen 9.11 die neuen Keys mit.
> Bei älteren Versionen müßten Keys ggf. eingespielt werden. Prüfen kann
> man seinen lokalen Bind auch durch einen Blick in die Config.
> Idealerweise existiert eine Datei bind.keys, die auch den neuen Key
> beinhaltet:
>
> # This key (20326) is to be published in the root zone in 2017.
>
>
> # Servers which were already using the old key (19036) should
> # roll seamlessly to this new one via RFC 5011 rollover. Servers
> # being set up for the first time can use the contents of this
> # file as initializing keys; thereafter, the keys in the
> # managed key database will be trusted and maintained
> # automatically.
> . initial-key 257 3 8
> "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3
> +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv
> ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF
> 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e
> oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd
> RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN
> R1AkUTV74bU=";
>
>
> Peer
>
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users