Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Zugriffe auf Fedoraproject.org teils gestört

Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
Zugriffe auf Fedoraproject.org teils gestört
Lesezeit: 2 Min.
Von
  • Carsten Strotmann
  • Dusan Zivadinovic

Die Domain "fedoraproject.org" der Linux-Distribution Fedora ist für Nutzer, die validierende DNS-Resolver verwenden, aktuell nicht erreichbar. Bei genauem Hinsehen fällt auf, dass der Key Signing Key (KSK) in der DNS-Zone "fedoraproject.org" nicht zum DS-Record in der .org-Zone passt. Deshalb scheitert die Validierung von signierten DNS-Antworten zur Domain fedoraproject.org und der Resolver liefert dem anfragenden Client keine IP-Adresse. Versucht man die Webseite mit einem Browser zu laden, liefert er nach kurzer Zeit die Meldung, dass die Domain nicht erreichbar ist.
Abhilfe für Admins und User

Betreiber von validierenden DNS-Resolvern können als Abhilfe temporär einen Negative Trust Anchor in die Resolver-Konfiguration eintragen (NTA). Anwender könnten zwar pragmatisch einen nicht-validierenden Resolver nehmen, aber aus Sicherheitssicht ist davon abzuraten – man schaltet ja auch nicht den HTTPS-Verkehr für alle Internet-Zugriffe ab, bloß weil eine Webseite einen Zertifikatsfehler aufweist. Anwender sollten daher abwarten, bis der Betreiber des DNS-Resolvers einen NTA konfiguriert hat oder das Problem bei Fedora behoben ist.

Vorübergehendes Problem

Man kann annehmen, dass der oder die Administratoren den KSK in der Zone gewechselt haben, ohne die Publizierung des neuen DS-Records abzuwarten. Das eigentliche Problem lässt sich zwar beheben, es dürfte aber noch eine Weile zu Störungen kommen, denn die TTL des DS-Records beträgt 24 Stunden. Wenn die .org-Zone den neuen DS-Record erhält, kann es danach noch bis zu 24 Stunden zu Validierungsproblemen kommen.

[Update] 6.9.2017, 13:30: Generell dürften solche DNSSEC-Probleme selten auftreten – der aktuelle Fall ist auf einen kleinen Patzer zurückzuführen, der möglicherweise anlässlich des Wechsels des Hauptschlüssels der fedoraproject.org-Zone entstanden ist (DNSSEC Key-Rollover). Mehr zum Thema Key-Rollover finden Sie auf der unserer Themenseite DNSSEC sowie diesen beiden kostenpflichtigen c't-Beiträgen:

Schlüsseldienst – DNSSEC: Handreichungen für den Key-Rollover der Root-Zone

Rolle seitwärts – DNSSEC-Probleme erkennen und umgehen

(dz)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum zum Thema: Sicherheit

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten