Domain Name Service: Zone von Fedoraproject.org offenbar repariert

Die Domain war infolge einer fehlerhaften DNSSEC-Konfiguration für Nutzer nicht erreichbar, deren DNS-Anfragen validierende Resolver beantworten.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Domain Name Service: Zone von Fedoraproject.org offenbar repariert
Lesezeit: 1 Min.
Von

Die Zone fedoraproject.org, die der Hersteller der Linux-Distribution Fedora betreibt, ist nun wieder korrekt und daher zum Beispiel per Browser wieder erreichbar. Im Laufe des heutigen Mittwochs war aufgefallen, dass die Validierung von signierten DNS-Antworten scheiterte.

Zahlreiche Nutzer in Deutschland erhalten DNS-Antworten von validierenden Resolvern. Deshalb kann man diesen Ausfall als ein erstes Beispiel dafür nehmen, dass Fehler in DNSSEC-Konfigurationen zwar gravierend sein können, aber auch in überschaubarer Zeit zu reparieren sind.

Über die Ursache sind noch keine Details bekannt. Möglicherweise haben die Administratoren den Key Signing Key (KSK) in der Zone gewechselt, ohne die Publizierung des neuen DS-Records abzuwarten.

Nun liefern alle Server die gleichen Daten, der DS-Record für die Key-ID 16207 (RSASHA1) sieht korrekt aus. Der Befehl dig ds fedoraproject.org @a0.org.afilias-nst.info. +short liefert eine sinnvolle Antwort:

16207 5 2 A7C9BF5AFE374C9650ED678F3D36931A7DE9256B86A7BC34D6DEED7D 4E492E5E

16207 5 1 8DD099791A2A110851FDE5D14F6C62ADC3DD7C18

Durch Caching-Effekte können Störungen aber noch bis zum 6.9.2017 anhalten. Administratoren von Resolvern können bis dahin einen Negative Trust Anchor in der Resolver-Konfiguration verwenden (NTA). (dz)