Abo
  • Services:
Anzeige
Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

Lennart Poettering: Systemd implementiert DNSSEC trotz Bedenken

Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

DNSSEC hat sehr viele praktische Probleme. Dennoch wird Systemd die Technik zum Absichern von DNS implementieren - auch wenn Systemd-Hauptentwickler Lennart Poettering das Protokoll selbst als "Scheiße" bezeichnet.

In einem Kommentar im Sommer 2015 haben wir das Protokoll DNSSEC schon abgeschrieben und für gescheitert erklärt. Auch Systemd-Gründer Lennart Poettering hat es in seiner Keynote auf der diesjährigen Fosdem mehrfach sehr harsch kritisiert und gar als "Scheiße" bezeichnet. Dennoch versucht das Systemd-Projekt, DNSSEC für Linux zu implementieren. Die Gründe dafür sind zunächst sehr pragmatisch.

Anzeige

Denn, so Poettering, wenn es die Möglichkeit dazu gebe, "sollten wir es nutzen". Das ist vor allem deshalb sinnvoll, weil DNSSEC ein Ansatz ist, um das Domain Name System (DNS) abzusichern, indem die DNS-Einträge signiert werden und damit Domains theoretisch verifiziert werden können.

Ein Resolver für alle Clients

Damit diese Idee tatsächlich funktioniert, muss dies letztlich aber auch auf den Rechnern von Nutzern umgesetzt werden, nicht nur wie bisher auf einigen DNS-Servern. In unserem Kommentar schrieben wir noch, dass dies eher unrealistisch erscheint, denn jedes System benötigt dafür einen DNS-Resolver, der DNSSEC unterstützt, womit es verschiedene Probleme gibt.

Doch genau diesen Ansatz versucht Systemd nun zu realisieren, indem die Unterstützung für DNSSEC in das Werkzeug Resolved integriert wird. Dieses wird bereits als DNS-Resolver für Networkd genutzt und unterstützt auch das von Microsoft initiierte LLMNR. DNSSEC könnte damit auf Millionen von Linux-Clients eingesetzt werden.

Fallback-Lösung für Probleme mit Clients

Falls Resolved aber standardmäßig DNSSEC forcieren würde, wären sehr viele aktuelle Nutzungsszenarien unmöglich. Poettering spricht beispielsweise von seinem Firmen-Netzwerk aber auch seinem Heim-Netzwerk, die mit der zwangsweisen Umsetzung nicht mehr oder nur noch sehr eingeschränkt funktionsfähig wären.

Denn möchte ein Nutzer etwa die Konfigurationsoberfläche seiner Fritzbox unter der Domain fritz.box aufrufen, muss DNSSEC dies verhindern, da diese Domain nachweisbar nicht im DNS existiert. Darüber hinaus unterstützen einige Provider DNSSEC nicht, so dass Nutzer sehr viele Probleme bekämen, sollte ihr Betriebssystem die Nutzung der Technik erzwingen.

Um diesen Problemen zu vermeiden, will das Systemd-Team eine Regelung umsetzen, welche die Verwendung von DNSSEC "aggressiv herunterstuft". Das heißt: Nur wenn das System durch das Eingreifen eines Administrators entsprechend konfiguriert ist, wird DNSSEC auch im Client verwendet.

Ob es allerdings sinnvoll ist, eine Sicherheitstechnik mit eingebautem Fallback zu implementieren, ist eine fast schon philosophische Frage. Wie viele Nutzer DNSSEC dank der Umsetzung in Systemd erreichen wird, muss sich erst zeigen. Vermutlich werden die meisten Anwender hauptsächlich Administratoren sein, die DNSSEC einfach in ihrer Infrastruktur einsetzen wollen. Angesichts der bisherigen Probleme damit und der immer noch sehr geringen Einsatzrate des Protokolls werden das wohl nur sehr wenige sein.


eye home zur Startseite
LoopBack 21. Feb 2016

Für das Problem gibt es seit 2008 eine Lösung die jeder mir bekannte DNSSEC resolver...

elgooG 02. Feb 2016

Da kann ich dir nur zustimmen. Die Podcasts von Tim Pritlove sind allgemein absolut...

SelfEsteem 01. Feb 2016

Ich mach 'ne Flasche Champagner auf, wenn die das tun ;P

SelfEsteem 01. Feb 2016

Oh je. Eine "Meinung" hat man ueber Dinge, die sich nicht ueberpruefen lassen. So kann...

Galde 31. Jan 2016

"Wie man in den Wald ruft, so schallt es heraus"



Anzeige

Stellenmarkt
  1. AVAT Automation GmbH, Tübingen
  2. HELUKABEL GmbH, Hemmingen bei Stuttgart
  3. vwd TransactionSolutions AG, Frankfurt am Main
  4. Bosch SoftTec GmbH, Hildesheim


Anzeige
Blu-ray-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Die Bestimmung, Life of Pi, House of Wax, Predator, Der Polarexpress, X-Men)

Folgen Sie uns
       


  1. Up- und Download

    Breites Bündnis ruft nach flächendeckender Gbit-Versorgung

  2. Kurznachrichtendienst

    Twitter bewertet sich mit 30 Milliarden US-Dollar

  3. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  4. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  5. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  6. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  7. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  8. Die Woche im Video

    Schneewittchen und das iPhone 7

  9. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  10. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
WatchOS 3.0 im Test: Die halbwegs gelungene App-Beschleunigung
WatchOS 3.0 im Test
Die halbwegs gelungene App-Beschleunigung
  1. IAA Nutzfahrzeuge Neue Smartwatch für mehr Sicherheit bei Lkws
  2. Android Wear Große Hersteller machen Smartwatch-Pause
  3. Ticwatch 2 Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

Ilife V7S im Test: Günstiger China-Roboter saugt fast so gut wie Markengeräte
Ilife V7S im Test
Günstiger China-Roboter saugt fast so gut wie Markengeräte
  1. Wiper Blitz 2.0 im Test Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  2. Lernroboter-Test Besser Technik lernen mit drei Freunden
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

Endless Space 2 in der Vorschau: Bereits jetzt meisterlicher als Orion
Endless Space 2 in der Vorschau
Bereits jetzt meisterlicher als Orion

  1. Re: Auch Win 7 ist ein Problem

    cpt.dirk | 00:11

  2. Re: Nicht mehr wachsen?

    logged_in | 00:00

  3. Re: Erstmal bitte ISDN für jeden...

    sneaker | 25.09. 23:47

  4. Re: Klingt nach

    Danijoo | 25.09. 23:37

  5. Re: So viel Geld für so wenige Zeichen

    Danijoo | 25.09. 23:33


  1. 15:10

  2. 13:15

  3. 12:51

  4. 11:50

  5. 11:30

  6. 11:13

  7. 11:03

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel