DNS-Ausfälle in .ru-Zone durch fehlerhafte Signaturen verursacht

DNS-Ausfälle sind für viele Internetnutzer ein Ärgernis, und kürzlich waren auch Nutzer der .ru-Zone von solch einem Vorfall betroffen. Experten haben nun analysiert, dass die Ausfälle nicht auf Angriffe oder Zensurmaßnahmen zurückzuführen sind, sondern auf Fehler bei der DNSSEC-Signierung.

DNSSEC ist ein Protokoll, das die Authentizität von DNS-Antworten überprüft und hauptsächlich zum Schutz vor Phishing eingesetzt wird. Bei der Signierung der .ru-Zone wurden jedoch fehlerhafte Signaturen eingeführt, die mit einem neuen DNS-Zonen-Schlüssel erstellt wurden. Dies führte zu Ausfällen bei Nutzern, die DNSSEC-validierende Server verwendeten, während Nutzer, die nicht-DNSSEC-validierende Server nutzten, keine Probleme hatten.

Es ist wichtig anzumerken, dass sowohl die TLD .su als auch die kyrillische Variante von .ru von den Ausfällen nicht betroffen waren. Die Administratoren von Ru-Center konnten die Situation nach zwei Stunden beheben, indem sie den vorherigen Schlüssel und die damit signierte Zone wieder implementierten.

Es bleibt jedoch unklar, wie es zu den fehlerhaften Signaturen kommen konnte. Experten vermuten, dass die Kryptografie als Ursache identifiziert werden kann, während der russische Kryptoalgorithmus Gost als unschuldig betrachtet wird. Es wird vermutet, dass eine aktualisierte Version der Krypto-Software für die fehlerhaften Signaturen verantwortlich sein könnte. Vorabtests wurden anscheinend nicht durchgeführt.

Um solche Probleme in Zukunft zu vermeiden, können Automatisierung und Standards für die gleichzeitige Signierung von Zonen mit unterschiedlichen Schlüsseln eingesetzt werden. Dadurch kann die Wahrscheinlichkeit von Fehlern bei der Signierung verringert werden.

DNS-Ausfälle sind ärgerlich und können zu Störungen beim Internetzugriff führen. In diesem Fall waren die Ausfälle in der .ru-Zone auf fehlerhafte Signaturen zurückzuführen. Experten analysierten den Vorfall und kamen zu dem Schluss, dass weder Angriffe noch Zensurmaßnahmen die Ursache waren. Stattdessen wurden fehlerhafte Signaturen eingeführt, die mit einem neuen DNS-Zonen-Schlüssel erstellt wurden. Nutzer, die DNSSEC-validierende Server verwendeten, waren von den Ausfällen betroffen, während Nutzer, die nicht-DNSSEC-validierende Server nutzten, keine Probleme hatten. Die TLD .su und die kyrillische Variante von .ru waren nicht betroffen. Die Administratoren von Ru-Center konnten den Fehler nach zwei Stunden beheben, indem sie den vorherigen Schlüssel und die damit signierte Zone wieder implementierten. Die genaue Ursache der fehlerhaften Signaturen ist noch unklar, aber es wird vermutet, dass eine aktualisierte Version der Krypto-Software dafür verantwortlich sein könnte. Um solche Probleme in Zukunft zu verhindern, können Automatisierung und Standards für die gleichzeitige Signierung von Zonen mit unterschiedlichen Schlüsseln eingesetzt werden. Dadurch wird die Wahrscheinlichkeit von Fehlern bei der Signierung verringert.

Schlagwörter: DNSSEC + Allison Mankin + Stephane Bortzmeyer

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 3. Februar 2024
FEHLER!