Veröffentlicht am %s

Umstellung auf DNSSEC

Am 20. September 2016 wird das RRZE die sogenannte DNSSEC Erweiterung (Domain Name System Security Extensions) für die beiden Hauptdomains der Universität, uni-erlangen.de und fau.de, aktivieren. Ausfälle werden nicht erwartet. Es könnte jedoch zu Komplikationen mit selbst betriebenen Nameservern und damit auch Windows Domain Controllern kommen. Außerdem wird es ein paar weitere Änderungen im DNS geben, die unbedingt beachtet werden müssen!

Der DNS-Erweiterung DNSSEC wird in Zukunft eine wichtige Funktion zukommen. Durch die Absicherung des grundlegenden Verzeichnisdienstes DNS, wird es möglich Dienste im Internet deutlich einfacher durch Verschlüsselung zu schützen. Beispielsweise wird dies bereits häufig genutzt, um mit Hilfe des sogenannten DANE-Protokolls den Versand von Mails zu verschlüsseln und zu authentifizieren.

Die Grundlage für DNSSEC liefern digitale Signaturen, die die bisherigen DNS-Daten erweitern und die für die Domains uni-erlangen.de und fau.de bereits im DNS vorliegen. Am 20. September 2016 wird nun durch das Hinterlegen des verwendeten digitalen Zertifikats bei der deutschen DNS-Verwaltung DENIC dafür gesorgt, dass weite Teile des Internets DNS-Daten für die beiden Domains nur noch akzeptieren, wenn diese Signaturen enthalten, die mit dem geheimen Schlüssel dieses Zertifikats erstellt wurden. Ab diesem Zeitpunkt sind die DNS-Daten kryptographisch gegen Manipulation gesichert. Es muss ab dann im Gegenzug aber auch penibel auf durchgängige Aktualität und Konsistenz aller Signaturdaten geachtet werden, da bei aktivem DNSSEC ungültig signierte DNS-Antworten stets sofort und ohne
weitere Warnung verworfen werden.

Dadurch gibt es einige Änderungen, die insbesondere Betreiber eigener DNS-Server und ggf auch Windows Domain Controller beachten müssen:

  • Einige der lokal betriebenen DNS-Server blenden vermutlich eigene Daten in die vom RRZE betreuten DNS-Daten ein. Genau diese Manipulation wird nun aber durch DNSSEC erkennbar! Endgeräte könnten hier die Annahme der „manipulierten“ Daten verweigern: Sie merken, dass die Daten nicht original vom RRZE stammen.
  • Das Signieren der Daten muss unabhängig von der Pflege der Daten erfolgen. Deshalb werden einige Daten und Strukturen in den DNS-Daten in Zukunft etwas anders aussehen. Vor allem hat die bisherige, vergleichsweise kleine Seriennummer der Daten (vom DNS-Administrator auch gerne einfach als „Version „bezeichnet) jetzt deutliche größere Werte. Diese Änderungen sind jedoch bereits seit einigen Wochen aktiv, da wesentliche Tests so erst möglich wurden und die Änderungen der Daten keinerlei Auswirkungen auf den Betrieb haben sollten und dies offensichtlich auch nicht hatten.
  • Bitte beachten Sie unbedingt, dass der vollständige Zugriff auf alle DNS-Daten (im Fachjargon Zonentransfer genannt) nicht mehr möglich sein wird! Insbesondere Caching-Server einiger Einrichtungen sind als Slave-Server für die Domains konfiguriert. Davon raten wir aktuell, nicht nur wegen DNSSEC, dringend ab. Mit der Umstellung wird dieses Verfahren nicht mehr funktionieren. Wir versuchen im Vorfeld betroffene Server zu ermitteln und die Betreiber zu kontaktieren.
  • An der FAU ist es weiterhin üblich die sogenannten HINFOs, die Informationen zu einem Gerät enthalten, das hinter einer IP-Adresse steckt, im DNS zu hinterlegen. Jedoch wird mit der Umstellung auf DNSSEC diese Information nicht mehr per DNS-Protokoll abrufbar sein.
  • Bitte beachten Sie auch, dass die FAUAD ebenfalls von Daten aus dem DNS abhängt. Sollten am Umstellungstag also Probleme mit der FAUAD auftauchen, könnten diese auf die Umstellung zurückzuführen sein!

Die Umstellung wird im Laufe des Tages erfolgen. Eine genaue Bestimmung der Uhrzeit ist leider nicht möglich, da die technische Ausführung nicht in unserer Hand liegt und die Änderungen auf Grund der verteilten Struktur des DNS, erst Stück für Stück überall bekannt werden.

Falls im Zuge der Umstellung oder nach der Umstellungen bei Ihnen Probleme mit dem DNS, insbesondere beim Betrieb mit eigenen Servern auftreten, nehmen Sie bitte mit dns@fau.de Kontakt auf. Viele der genannten Probleme lassen sich relativ einfach durch Setzen der richtigen Optionen ganz umgehen oder zumindest abmildern.