c't 16/2017
S. 176
Praxis
DNSSEC

Rolle seitwärts

DNSSEC-Probleme erkennen und umgehen

Das Domain Name System kann per DNSSEC kryptografisch signierte Nachrichten liefern und so vor böswilligen DNS-Umleitungen schützen. Weil der Hauptschlüssel schon einige Jahre alt ist, wird er nun gewechselt und Provider müssen darauf achten, ihn zu beziehen. Wenn er fehlt, sind ihre Nutzer von Teilen des Internet abgeschnitten. Wir zeigen, wie Sie dieses Problem diagnostizieren und umkurven.

Am 11. Juli publizierte die ICANN einen neuen kryptografischen Hauptschlüssel des Domain Name System (DNS). Schlüssel können gestohlen oder mit viel Aufwand oder Glück erraten werden, weshalb man sie ab und an ersetzt. Den neuen Schlüssel (Key Signing Key, KSK) müssen nun zahlreiche Provider weltweit beziehen, weil andernfalls deren DNS-Service ausfällt und Teilnehmer deshalb einen Großteil des Internet nicht mehr nutzen können. User können den Morbus KSK mit etwas Know-how diagnostizieren und auch kurieren, bis der Provider den neuen Schlüssel nutzt.

Doch zunächst kurz zum Hintergrund: Im Domain Name System unterscheidet man authoritative Server und Resolver. Die authoritativen haben die DNS-Infos (z. B. IP-Adressen). Die Resolver, die normalerweise Provider betreiben, besorgen die Infos auf Anfragen von Clients. Wenn also ein PC oder Smartphone Daten aus dem Internet laden soll, fragt er den Resolver des Providers, welche IP-Adresse der Server hat, auf dem die Daten liegen.

Kommentare lesen (2 Beiträge)