Abo
  • Services:
Anzeige
Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

Lennart Poettering: Systemd implementiert DNSSEC trotz Bedenken

Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

DNSSEC hat sehr viele praktische Probleme. Dennoch wird Systemd die Technik zum Absichern von DNS implementieren - auch wenn Systemd-Hauptentwickler Lennart Poettering das Protokoll selbst als "Scheiße" bezeichnet.

In einem Kommentar im Sommer 2015 haben wir das Protokoll DNSSEC schon abgeschrieben und für gescheitert erklärt. Auch Systemd-Gründer Lennart Poettering hat es in seiner Keynote auf der diesjährigen Fosdem mehrfach sehr harsch kritisiert und gar als "Scheiße" bezeichnet. Dennoch versucht das Systemd-Projekt, DNSSEC für Linux zu implementieren. Die Gründe dafür sind zunächst sehr pragmatisch.

Anzeige

Denn, so Poettering, wenn es die Möglichkeit dazu gebe, "sollten wir es nutzen". Das ist vor allem deshalb sinnvoll, weil DNSSEC ein Ansatz ist, um das Domain Name System (DNS) abzusichern, indem die DNS-Einträge signiert werden und damit Domains theoretisch verifiziert werden können.

Ein Resolver für alle Clients

Damit diese Idee tatsächlich funktioniert, muss dies letztlich aber auch auf den Rechnern von Nutzern umgesetzt werden, nicht nur wie bisher auf einigen DNS-Servern. In unserem Kommentar schrieben wir noch, dass dies eher unrealistisch erscheint, denn jedes System benötigt dafür einen DNS-Resolver, der DNSSEC unterstützt, womit es verschiedene Probleme gibt.

Doch genau diesen Ansatz versucht Systemd nun zu realisieren, indem die Unterstützung für DNSSEC in das Werkzeug Resolved integriert wird. Dieses wird bereits als DNS-Resolver für Networkd genutzt und unterstützt auch das von Microsoft initiierte LLMNR. DNSSEC könnte damit auf Millionen von Linux-Clients eingesetzt werden.

Fallback-Lösung für Probleme mit Clients

Falls Resolved aber standardmäßig DNSSEC forcieren würde, wären sehr viele aktuelle Nutzungsszenarien unmöglich. Poettering spricht beispielsweise von seinem Firmen-Netzwerk aber auch seinem Heim-Netzwerk, die mit der zwangsweisen Umsetzung nicht mehr oder nur noch sehr eingeschränkt funktionsfähig wären.

Denn möchte ein Nutzer etwa die Konfigurationsoberfläche seiner Fritzbox unter der Domain fritz.box aufrufen, muss DNSSEC dies verhindern, da diese Domain nachweisbar nicht im DNS existiert. Darüber hinaus unterstützen einige Provider DNSSEC nicht, so dass Nutzer sehr viele Probleme bekämen, sollte ihr Betriebssystem die Nutzung der Technik erzwingen.

Um diesen Problemen zu vermeiden, will das Systemd-Team eine Regelung umsetzen, welche die Verwendung von DNSSEC "aggressiv herunterstuft". Das heißt: Nur wenn das System durch das Eingreifen eines Administrators entsprechend konfiguriert ist, wird DNSSEC auch im Client verwendet.

Ob es allerdings sinnvoll ist, eine Sicherheitstechnik mit eingebautem Fallback zu implementieren, ist eine fast schon philosophische Frage. Wie viele Nutzer DNSSEC dank der Umsetzung in Systemd erreichen wird, muss sich erst zeigen. Vermutlich werden die meisten Anwender hauptsächlich Administratoren sein, die DNSSEC einfach in ihrer Infrastruktur einsetzen wollen. Angesichts der bisherigen Probleme damit und der immer noch sehr geringen Einsatzrate des Protokolls werden das wohl nur sehr wenige sein.


eye home zur Startseite
LoopBack 21. Feb 2016

Für das Problem gibt es seit 2008 eine Lösung die jeder mir bekannte DNSSEC resolver...

elgooG 02. Feb 2016

Da kann ich dir nur zustimmen. Die Podcasts von Tim Pritlove sind allgemein absolut...

SelfEsteem 01. Feb 2016

Ich mach 'ne Flasche Champagner auf, wenn die das tun ;P

SelfEsteem 01. Feb 2016

Oh je. Eine "Meinung" hat man ueber Dinge, die sich nicht ueberpruefen lassen. So kann...

Galde 31. Jan 2016

"Wie man in den Wald ruft, so schallt es heraus"



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Berlin
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Ratbacher GmbH, München
  4. WALHALLA Fachverlag, Regensburg


Anzeige
Hardware-Angebote
  1. 399€ + 3,99€ Versand
  2. 18,01€+ 3€ Versand

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Geringwertiger Gütertransport

    m9898 | 16:25

  2. Re: Reiner Zufall...

    Balduan | 16:24

  3. So etwas Grund genug zum umtauschen / zurück geben?

    Graveangel | 16:21

  4. hmmm

    Prinzeumel | 16:00

  5. Re: Was hat das mit "Die PARTEI" zui tun?

    Der Held vom... | 15:54


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel