Zugriffe auf Fedoraproject.org teils gestört

Heinrich Voigts on September 7, 2017 - 9:03 pm in Internet

[ad_1]

Nutzer, deren DNS-Anfragen von validierenden DNS-Resolvern beantwortet werden, können derzeit nicht auf die Domain zugreifen. Offenbar ist den Betreibern der Seite ein Fehler beim Aktualisieren eines DNSSEC-Schlüssels unterlaufen.

Die Domain “fedoraproject.org” der Linux-Distribution Fedora ist für Nutzer, die validierende DNS-Resolver verwenden, aktuell nicht erreichbar. Bei genauem Hinsehen fällt auf, dass der Key Signing Key (KSK) in der DNS-Zone “fedoraproject.org” nicht zum DS-Record in der .org-Zone passt. Deshalb scheitert die Validierung von signierten DNS-Antworten zur Domain fedoraproject.org und der Resolver liefert dem anfragenden Client keine IP-Adresse. Versucht man die Webseite mit einem Browser zu laden, liefert er nach kurzer Zeit die Meldung, dass die Domain nicht erreichbar ist.

Abhilfe für Admins und User

Betreiber von validierenden DNS-Resolvern können als Abhilfe temporär einen Negative Trust Anchor in die Resolver-Konfiguration eintragen (NTA). Anwender könnten zwar pragmatisch einen nicht-validierenden Resolver nehmen, aber aus Sicherheitssicht ist davon abzuraten – man schaltet ja auch nicht den HTTPS-Verkehr für alle Internet-Zugriffe ab, bloß weil eine Webseite einen Zertifikatsfehler aufweist. Anwender sollten daher abwarten, bis der Betreiber des DNS-Resolvers einen NTA konfiguriert hat oder das Problem bei Fedora behoben ist.

Vorübergehendes Problem

Man kann annehmen, dass der oder die Administratoren den KSK in der Zone gewechselt haben, ohne die Publizierung des neuen DS-Records abzuwarten. Das eigentliche Problem lässt sich zwar beheben, es dürfte aber noch eine Weile zu Störungen kommen, denn die TTL des DS-Records beträgt 24 Stunden. Wenn die .org-Zone den neuen DS-Record erhält, kann es danach noch bis zu 24 Stunden zu Validierungsproblemen kommen.

[Update] 6.9.2017, 13:30: Generell dürften solche DNSSEC-Probleme selten auftreten – der aktuelle Fall ist auf einen kleinen Patzer zurückzuführen, der möglicherweise anlässlich des Wechsels des Hauptschlüssels der fedoraproject.org-Zone entstanden ist (DNSSEC Key-Rollover). Mehr zum Thema Key-Rollover finden Sie auf der unserer Themenseite DNSSEC sowie diesen beiden kostenpflichtigen c’t-Beiträgen:

• Schlüsseldienst – DNSSEC: Handreichungen für den Key-Rollover der Root-Zone

• Rolle seitwärts – DNSSEC-Probleme erkennen und umgehen

(dz)

[ad_2]