DNS-Ausf\u00e4lle sind f\u00fcr viele Internetnutzer ein \u00c4rgernis, und k\u00fcrzlich waren auch Nutzer der .ru-Zone von solch einem Vorfall betroffen. Experten haben nun analysiert, dass die Ausf\u00e4lle nicht auf Angriffe oder Zensurma\u00dfnahmen zur\u00fcckzuf\u00fchren sind, sondern auf Fehler bei der DNSSEC-Signierung.<\/p>\n
DNSSEC ist ein Protokoll, das die Authentizit\u00e4t von DNS-Antworten \u00fcberpr\u00fcft und haupts\u00e4chlich zum Schutz vor Phishing eingesetzt wird. Bei der Signierung der .ru-Zone wurden jedoch fehlerhafte Signaturen eingef\u00fchrt, die mit einem neuen DNS-Zonen-Schl\u00fcssel erstellt wurden. Dies f\u00fchrte zu Ausf\u00e4llen bei Nutzern, die DNSSEC-validierende Server verwendeten, w\u00e4hrend Nutzer, die nicht-DNSSEC-validierende Server nutzten, keine Probleme hatten.<\/p>\n
Es ist wichtig anzumerken, dass sowohl die TLD .su als auch die kyrillische Variante von .ru von den Ausf\u00e4llen nicht betroffen waren. Die Administratoren von Ru-Center konnten die Situation nach zwei Stunden beheben, indem sie den vorherigen Schl\u00fcssel und die damit signierte Zone wieder implementierten.<\/p>\n
Es bleibt jedoch unklar, wie es zu den fehlerhaften Signaturen kommen konnte. Experten vermuten, dass die Kryptografie als Ursache identifiziert werden kann, w\u00e4hrend der russische Kryptoalgorithmus Gost als unschuldig betrachtet wird. Es wird vermutet, dass eine aktualisierte Version der Krypto-Software f\u00fcr die fehlerhaften Signaturen verantwortlich sein k\u00f6nnte. Vorabtests wurden anscheinend nicht durchgef\u00fchrt.<\/p>\n
Um solche Probleme in Zukunft zu vermeiden, k\u00f6nnen Automatisierung und Standards f\u00fcr die gleichzeitige Signierung von Zonen mit unterschiedlichen Schl\u00fcsseln eingesetzt werden. Dadurch kann die Wahrscheinlichkeit von Fehlern bei der Signierung verringert werden.<\/p>\n
DNS-Ausf\u00e4lle sind \u00e4rgerlich und k\u00f6nnen zu St\u00f6rungen beim Internetzugriff f\u00fchren. In diesem Fall waren die Ausf\u00e4lle in der .ru-Zone auf fehlerhafte Signaturen zur\u00fcckzuf\u00fchren. Experten analysierten den Vorfall und kamen zu dem Schluss, dass weder Angriffe noch Zensurma\u00dfnahmen die Ursache waren. Stattdessen wurden fehlerhafte Signaturen eingef\u00fchrt, die mit einem neuen DNS-Zonen-Schl\u00fcssel erstellt wurden. Nutzer, die DNSSEC-validierende Server verwendeten, waren von den Ausf\u00e4llen betroffen, w\u00e4hrend Nutzer, die nicht-DNSSEC-validierende Server nutzten, keine Probleme hatten. Die TLD .su und die kyrillische Variante von .ru waren nicht betroffen. Die Administratoren von Ru-Center konnten den Fehler nach zwei Stunden beheben, indem sie den vorherigen Schl\u00fcssel und die damit signierte Zone wieder implementierten. Die genaue Ursache der fehlerhaften Signaturen ist noch unklar, aber es wird vermutet, dass eine aktualisierte Version der Krypto-Software daf\u00fcr verantwortlich sein k\u00f6nnte. Um solche Probleme in Zukunft zu verhindern, k\u00f6nnen Automatisierung und Standards f\u00fcr die gleichzeitige Signierung von Zonen mit unterschiedlichen Schl\u00fcsseln eingesetzt werden. Dadurch wird die Wahrscheinlichkeit von Fehlern bei der Signierung verringert.<\/p>\n
Schlagw\u00f6rter: DNSSEC + Allison Mankin + Stephane Bortzmeyer<\/p>\n","protected":false},"excerpt":{"rendered":"
DNS-Ausf\u00e4lle sind f\u00fcr viele Internetnutzer ein \u00c4rgernis, und k\u00fcrzlich waren auch Nutzer der .ru-Zone von solch einem Vorfall betroffen. Experten haben nun analysiert, dass die Ausf\u00e4lle nicht auf Angriffe oder Zensurma\u00dfnahmen zur\u00fcckzuf\u00fchren sind, sondern auf Fehler bei der DNSSEC-Signierung. DNSSEC ist ein Protokoll, das die Authentizit\u00e4t von DNS-Antworten \u00fcberpr\u00fcft und...<\/p>\n","protected":false},"author":4,"featured_media":4350,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4351","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4351","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4351"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4351\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/4350"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4351"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4351"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4351"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}