Störungen beim Zugriff auf Fedoraproject.org

06.09.2017 13:14 Uhr heise

Einige Nutzer haben Schwierigkeiten beim Zugriff auf die Webseite von Fedoraproject.org. Dies betrifft insbesondere Nutzer, deren DNS-Anfragen von DNS-Resolvern validiert werden. Es scheint, dass ein Fehler bei der Aktualisierung eines DNSSEC-Schlüssels aufgetreten ist was zu diesen Problemen geführt hat.

Bei genauem Hinsehen fällt auf, dass der Key Signing Key (KSK) in der DNS-Zone "fedoraproject.org" nicht zum DS-Record in der .org-Zone passt. Deshalb scheitert die Validierung von signierten DNS-Antworten zur Domain fedoraproject.org und der Resolver liefert dem anfragenden Client keine IP-Adresse. Versucht man die Webseite mit einem Browser zu laden liefert er nach kurzer Zeit die Meldung. Dass Domain nicht erreichbar ist.

Abhilfe für Admins & User

Betreiber von validierenden DNS-Resolvern können als Abhilfe temporär einen Negative Trust Anchor in die Resolver-Konfiguration eintragen (NTA). Anwender könnten zwar pragmatisch einen nicht-validierenden Resolver nehmen jedoch aus Sicherheitssicht ist davon abzuraten ? man schaltet ja ebenfalls nicht den HTTPS-Verkehr für alle Internet-Zugriffe ab, bloß weil eine Webseite einen Zertifikatsfehler aufweist. Anwender sollten deshalb abwarten, bis der Betreiber des DNS-Resolvers einen NTA konfiguriert hat oder das Problem bei Fedora behoben ist.

Vorübergehendes Problem

Man kann annehmen: Der oder die Administratoren den KSK in der Zone gewechselt haben, ohne die Publizierung des neuen DS-Records abzuwarten. Das eigentliche Problem lässt sich zwar beheben, es dürfte aber noch eine Weile zu Störungen kommen, denn die TTL des DS-Records beträgt 24 Stunden. Wenn die .org-Zone den neuen DS-Record erhält, kann es danach noch bis zu 24 Stunden zu Validierungsproblemen kommen.

[Update] 6․9․2017, 13:30: Generell dürften solche DNSSEC-Probleme nicht häufig auftreten ? der aktuelle Fall ist auf einen kleinen Patzer zurückzuführen der möglicherweise anlässlich des Wechsels des Hauptschlüssels der fedoraproject.org-Zone entstanden ist (DNSSEC Key-Rollover). Mehr zum Thema Key-Rollover finden Sie auf der unserer Themenseite DNSSEC und auch diesen beiden kostenpflichtigen c't-Beiträgen:

? Schlüsseldienst ? DNSSEC: Handreichungen für den Key-Rollover der Root-Zone

? Rolle seitwärts ? DNSSEC-Probleme erkennen und umgehen

Zuletzt aktualisiert am 14.06.2023 18:41 Uhr

Netze
DNSSEC

Kommentare

Ähnliche News

Reparatur der DNS-Zone von Fedoraproject.org

Domain Name Service: Zone von Fedoraproject.org offenbar repariert

Es scheint wie ob die Zone von Fedoraproject.org aufgrund einer fehlerhaften DNSSEC-Konfiguration für einige Nutzer nicht erreichbar war. Dies betraf insbesondere Nutzer, deren DNS-Anfragen von Resolvern bearbeitet wurden die eine Validierung durchführen.

DNSSEC-Day am 30. Juni: Experten erklären Nutzen und Anwendungsmöglichkeiten

Am 30. Juni 2015 findet der DNSSEC-Day statt der von dem BSI, DENIC und heise online veranstaltet wird. Im Rahmen dieser Veranstaltung wird ein Livestreaming angeboten, bei dem Fachleute über den Nutzen und die Anwendungsmöglichkeiten von DNSSEC für Nutzer und Administratoren sprechen.

Was beim DNSSEC-Day besprochen wurde

Am 30. Juni fand der DNSSEC-Day statt, bei dem das BSI, DENIC und heise online die Vorteile der DNSSEC-Technologie vorstellten und kritische Fragen diskutierten. Eine überraschende Entscheidung war die Ankündigung, dass neue Registrare zukünftig ihren Kunden DNSSEC anbieten müssen.

Apple-Dienste stundenlang nicht erreichbar

Größerer Ausfall bei vielen Apple-Diensten

In der Nacht zum Freitag kam es zu einer massiven Störung bei vielen Apple-Diensten. Content-Angebote und iCloud-Services, einschließlich E-Mail, waren betroffen und Nutzer konnten nicht auf ihre gewohnten Angebote zugreifen.

DNSSEC-Day: Live-Stream startet um 14 Uhr

DNSSEC-Day: Videostream beginnt um 14 Uhr

Die Verbreitung der Sicherheitstechnik DNSSEC die dazu dient, Manipulationen an DNS-Auskünften zu verhindern ist in Deutschland noch relativ gering.