Abo
  • Services:
Anzeige
Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

Lennart Poettering: Systemd implementiert DNSSEC trotz Bedenken

Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

DNSSEC hat sehr viele praktische Probleme. Dennoch wird Systemd die Technik zum Absichern von DNS implementieren - auch wenn Systemd-Hauptentwickler Lennart Poettering das Protokoll selbst als "Scheiße" bezeichnet.

In einem Kommentar im Sommer 2015 haben wir das Protokoll DNSSEC schon abgeschrieben und für gescheitert erklärt. Auch Systemd-Gründer Lennart Poettering hat es in seiner Keynote auf der diesjährigen Fosdem mehrfach sehr harsch kritisiert und gar als "Scheiße" bezeichnet. Dennoch versucht das Systemd-Projekt, DNSSEC für Linux zu implementieren. Die Gründe dafür sind zunächst sehr pragmatisch.

Anzeige

Denn, so Poettering, wenn es die Möglichkeit dazu gebe, "sollten wir es nutzen". Das ist vor allem deshalb sinnvoll, weil DNSSEC ein Ansatz ist, um das Domain Name System (DNS) abzusichern, indem die DNS-Einträge signiert werden und damit Domains theoretisch verifiziert werden können.

Ein Resolver für alle Clients

Damit diese Idee tatsächlich funktioniert, muss dies letztlich aber auch auf den Rechnern von Nutzern umgesetzt werden, nicht nur wie bisher auf einigen DNS-Servern. In unserem Kommentar schrieben wir noch, dass dies eher unrealistisch erscheint, denn jedes System benötigt dafür einen DNS-Resolver, der DNSSEC unterstützt, womit es verschiedene Probleme gibt.

Doch genau diesen Ansatz versucht Systemd nun zu realisieren, indem die Unterstützung für DNSSEC in das Werkzeug Resolved integriert wird. Dieses wird bereits als DNS-Resolver für Networkd genutzt und unterstützt auch das von Microsoft initiierte LLMNR. DNSSEC könnte damit auf Millionen von Linux-Clients eingesetzt werden.

Fallback-Lösung für Probleme mit Clients

Falls Resolved aber standardmäßig DNSSEC forcieren würde, wären sehr viele aktuelle Nutzungsszenarien unmöglich. Poettering spricht beispielsweise von seinem Firmen-Netzwerk aber auch seinem Heim-Netzwerk, die mit der zwangsweisen Umsetzung nicht mehr oder nur noch sehr eingeschränkt funktionsfähig wären.

Denn möchte ein Nutzer etwa die Konfigurationsoberfläche seiner Fritzbox unter der Domain fritz.box aufrufen, muss DNSSEC dies verhindern, da diese Domain nachweisbar nicht im DNS existiert. Darüber hinaus unterstützen einige Provider DNSSEC nicht, so dass Nutzer sehr viele Probleme bekämen, sollte ihr Betriebssystem die Nutzung der Technik erzwingen.

Um diesen Problemen zu vermeiden, will das Systemd-Team eine Regelung umsetzen, welche die Verwendung von DNSSEC "aggressiv herunterstuft". Das heißt: Nur wenn das System durch das Eingreifen eines Administrators entsprechend konfiguriert ist, wird DNSSEC auch im Client verwendet.

Ob es allerdings sinnvoll ist, eine Sicherheitstechnik mit eingebautem Fallback zu implementieren, ist eine fast schon philosophische Frage. Wie viele Nutzer DNSSEC dank der Umsetzung in Systemd erreichen wird, muss sich erst zeigen. Vermutlich werden die meisten Anwender hauptsächlich Administratoren sein, die DNSSEC einfach in ihrer Infrastruktur einsetzen wollen. Angesichts der bisherigen Probleme damit und der immer noch sehr geringen Einsatzrate des Protokolls werden das wohl nur sehr wenige sein.


eye home zur Startseite
LoopBack 21. Feb 2016

Für das Problem gibt es seit 2008 eine Lösung die jeder mir bekannte DNSSEC resolver...

elgooG 02. Feb 2016

Da kann ich dir nur zustimmen. Die Podcasts von Tim Pritlove sind allgemein absolut...

SelfEsteem 01. Feb 2016

Ich mach 'ne Flasche Champagner auf, wenn die das tun ;P

SelfEsteem 01. Feb 2016

Oh je. Eine "Meinung" hat man ueber Dinge, die sich nicht ueberpruefen lassen. So kann...

Galde 31. Jan 2016

"Wie man in den Wald ruft, so schallt es heraus"



Anzeige

Stellenmarkt
  1. S-KREDITPARTNER GMBH, Berlin
  2. über Hanseatisches Personalkontor Berlin, Deutschland
  3. Giesecke & Devrient 3S GmbH, München
  4. Willy Bogner GmbH & Co. KGaA, München


Anzeige
Spiele-Angebote
  1. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  2. 149,99€
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       


  1. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  2. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  3. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  4. Pokémon Go

    Pikachu versus Bundeswehr

  5. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  6. Nintendo

    Wii U findet kaum noch Käufer

  7. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen

  8. Ticwatch 2

    Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

  9. Hardware und Software

    Facebook legt 360-Grad-Kamera offen

  10. Licht

    Osram verkauft sein LED-Geschäft nach China



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Quadro P6000/P5000 Nvidia kündigt Profi-Karten mit GP102-Vollausbau an
  2. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  3. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August

Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

  1. Was für ein Artikel soll das sein?

    gaciju | 21:12

  2. Re: Ganz und gar nicht günstig

    svenjamin | 21:09

  3. Re: Skript Kiddies

    FreiGeistler | 21:07

  4. Re: ich bete, dass das stimmt

    ubuntu_user | 21:07

  5. Re: Ich sag nur zwei Dinge

    Mingfu | 21:07


  1. 19:16

  2. 17:37

  3. 16:32

  4. 16:13

  5. 15:54

  6. 15:31

  7. 15:14

  8. 14:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel