Domain Name Service: Zone von Fedoraproject.org offenbar repariert
Die Domain war infolge einer fehlerhaften DNSSEC-Konfiguration für Nutzer nicht erreichbar, deren DNS-Anfragen validierende Resolver beantworten.
- Carsten Strotmann
- Dusan Zivadinovic
Die Zone fedoraproject.org, die der Hersteller der Linux-Distribution Fedora betreibt, ist nun wieder korrekt und daher zum Beispiel per Browser wieder erreichbar. Im Laufe des heutigen Mittwochs war aufgefallen, dass die Validierung von signierten DNS-Antworten scheiterte.
Zahlreiche Nutzer in Deutschland erhalten DNS-Antworten von validierenden Resolvern. Deshalb kann man diesen Ausfall als ein erstes Beispiel dafür nehmen, dass Fehler in DNSSEC-Konfigurationen zwar gravierend sein können, aber auch in überschaubarer Zeit zu reparieren sind.
Über die Ursache sind noch keine Details bekannt. Möglicherweise haben die Administratoren den Key Signing Key (KSK) in der Zone gewechselt, ohne die Publizierung des neuen DS-Records abzuwarten.
Nun liefern alle Server die gleichen Daten, der DS-Record für die Key-ID 16207 (RSASHA1) sieht korrekt aus. Der Befehl dig ds fedoraproject.org @a0.org.afilias-nst.info. +short
liefert eine sinnvolle Antwort:
16207 5 2 A7C9BF5AFE374C9650ED678F3D36931A7DE9256B86A7BC34D6DEED7D 4E492E5E
16207 5 1 8DD099791A2A110851FDE5D14F6C62ADC3DD7C18
Durch Caching-Effekte können Störungen aber noch bis zum 6.9.2017 anhalten. Administratoren von Resolvern können bis dahin einen Negative Trust Anchor in der Resolver-Konfiguration verwenden (NTA). (dz)