gute Entscheidung habe es bisher auch nur auf einem Testsystem.
Denke aber in einigen Tagen sind die Problemchen die es noch gibt vom ausgezeichneten Team hier lokalisiert und weitestgehend behoben, hier scheint es mittlerweile auf dem Testsystem nach entsprechenden Nachbesserungen zu laufen.
Bei der DNSSEC-Migration gab es leider einen Fehler: bei DNS-Zonen, welche einen 4096-Bit RSA-Schlüssel als KSK haben, und bei denen wiederum der ZSK-Key-Tag einen kleineren Wert als der KSK-Key-Tag hat, bei denen wurde eine falsche DNSSEC-Policy in die Zonenliste geschrieben (für 2048-Bit statt 4096-Bit-KSKs). Das führte wiederum dazu, dass BIND die KSKs nicht übernommen sondern Neue erzeugt hat. :-/
(das ist leider eine seeehr hässliche Nebenwirkung der "wir-kümmern-uns-ab-sofort-um-alles"-Philosophie bei dnssec-policy.
Der Migrationsfehler wurde eben behoben, wir entwickeln eben noch ein Routine zur Korrektur aller betroffenen Domains (bei bereits migrierten Systemen), wird dann gleich in Form der v2.18.1 bereitstehen.
Wir hatten im Rahmen eines Umzugs eine niedrige TTL für schnellere Umstellungen gesetzt. Genau das hat den Effekt des Problems potenziert:
Durch die fehlerhafte dnssec-policy wurden offenbar neue KSKs erzeugt, was dazu führte, dass unsere Domain plötzlich nicht mehr auflösbar war – insbesondere bei deutschen DNS-Providern heute schon wieder, jetzt dauert es wieder mehrere Stunden bis die DNS Änderungen bei den Kunden ankommen, es ist zum Mäusemelken. Es tritt im übrigen nur bei .de domains bei mir auf die .at /.ch waren nicht betroffen das machte die Sache noch schwerer zu verstehen also musste es irgendwas mit der DENIC zu tun haben
Bei der DNSSEC-Migration gab es leider einen Fehler: bei DNS-Zonen, welche einen 4096-Bit RSA-Schlüssel als KSK haben, und bei denen wiederum der ZSK-Key-Tag einen kleineren Wert als der KSK-Key-Tag hat, bei denen wurde eine falsche DNSSEC-Policy in die Zonenliste geschrieben (für 2048-Bit statt 4096-Bit-KSKs). Das führte wiederum dazu, dass BIND die KSKs nicht übernommen sondern Neue erzeugt hat. :-/
(das ist leider eine seeehr hässliche Nebenwirkung der "wir-kümmern-uns-ab-sofort-um-alles"-Philosophie bei dnssec-policy.
Der Migrationsfehler wurde eben behoben, wir entwickeln eben noch ein Routine zur Korrektur aller betroffenen Domains (bei bereits migrierten Systemen), wird dann gleich in Form der v2.18.1 bereitstehen.
Genau das hatte ich bei zwei Domains. Gute Erklärung, habe ich es mir also doch nicht eingebildet 😄
Ist das auch der Grund dafür, dass KSKs mit Algo 13/14 gar nicht erst gepublished werden?
Bei mir wurde in jedem Fall von Bind immer ein neuer KSK mit Algo 7 erzeugt und die Policy lc-nsec3rsasha1-2048 angewandt.
Ich habe jetzt über die GUI neue Algo 7 Keys erzeugt, beim zweiten Versuch werden jetzt die verwendet, da die erwähnte Bedingung mit den Key-Tags wohl nicht mehr zutrifft.
Durch die fehlerhafte dnssec-policy wurden offenbar neue KSKs erzeugt, was dazu führte, dass unsere Domain plötzlich nicht mehr auflösbar war – insbesondere bei deutschen DNS-Providern heute schon wieder, jetzt dauert es wieder mehrere Stunden bis die DNS Änderungen bei den Kunden ankommen, es ist zum Mäusemelken. Es tritt im übrigen nur bei .de domains bei mir auf die .at /.ch waren nicht betroffen das machte die Sache noch schwerer zu verstehen also musste es irgendwas mit der DENIC zu tun haben
Das tut mir sehr leid, ich verstehe Ihren Ärger. Mir einem Provider haben wir die Nacht durch durchgearbeitet, um die Ursache zu lokalisieren und zu beheben (der Chatverlauf zwischen einem Techniker dort und einem Entwickler von uns endete heute früh um 05:02).
Mit der TLD dürfte das aber nichts zu tun gehabt haben. Ich denke wir haben das inzwischen ganz gut nachvollzogen und werden eine ausführliche Beschreibung im Laufe des Tages veröffentlichen. Das Verhalten von BIND mit der dnssec-policy ist Fluch und Segen zugleich.
Aktuell entwickeln wir noch ein Tool, um die fälschlicherweise erzeugten KSKs, die in Form von DNSKEYs noch in manchen Zonen hängen, sauber zu entfernen. Die Domains sollten soweit operativ funktionieren, aber es gibt in manchen Fällen sehr viele Log-Meldungen bei BIND die nun behoben werden müssen.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
