Ohne automatisches Schlüssel-Update müssen alle BIND9-Betreiber die neue Version der DNS-Server-Software von ISC einsetzen um signierte DNS-Antworten zu validieren. Die ISC hat den Schlüsselaustausch für BIND9 eingeläutet und ein Update veröffentlicht, das für alle Nutzer von großer Bedeutung ist.
11.1 enthält eine neue bind.keys-Datei. Darin ist der neue öffentliche Key Signing Key (KSK) enthalten, den die ICANN am 11. Oktober in der globalen Root-Zone publizieren will.
Damit können alle Nutzer die BIND9 zum Validieren einsetzen, dennoch keine automatische Schlüsselaktualisierung konfiguriert haben (Key-Konfiguration über das Statement trusted-keys), ihr System für den bevorstehenden Schlüsseltausch der Root-Zone frühzeitig einrichten.
Key-Rollover: Manuell und automatisch
BIND9-Systeme, auf denen der Root-Key mittels des Managed-Keys-Statement eingerichtet sind oder die die Option dnssec-validation auto nutzen holen sich den aktuellen Schlüssel automatisch sobald er publiziert ist.
Außerdem führt ISC in den Release Notes diverse kleine Fehlerbereinigungen, Security-Fixes und kleine Feature-Ergänzungen auf. Anders als in den Release Notes vermerkt – ist die Datei bind.keys nocht nicht separat erhältlich (ISC ist informiert). Wer sie benötigt – muss daher das komplette Archiv herunterladen. BIND9.11.1 ist auf dem Webserver von ISC veröffentlicht.
Betreiber von validierenden Servern können seit einiger Zeit prüfen, ob ihr System für den bevorstehenden Schlüsseltausch gerüstet ist (Key-Rollover). Dafür ist eine Login bei der ICANN notwendig. Ein entsprechendes Verfahren hat die ICANN im Rahmen ihres 58. Treffens in Kopenhagen vorgestellt.
[Update]: 21․4․17, 12:01, das Key-File ist nunmehr separat erhältlich.
Kommentare