• IT-Karriere:
  • Services:

Lennart Poettering: Systemd implementiert DNSSEC trotz Bedenken

DNSSEC hat sehr viele praktische Probleme. Dennoch wird Systemd die Technik zum Absichern von DNS implementieren - auch wenn Systemd-Hauptentwickler Lennart Poettering das Protokoll selbst als "Scheiße" bezeichnet.

Artikel veröffentlicht am ,
Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

In einem Kommentar im Sommer 2015 haben wir das Protokoll DNSSEC schon abgeschrieben und für gescheitert erklärt. Auch Systemd-Gründer Lennart Poettering hat es in seiner Keynote auf der diesjährigen Fosdem mehrfach sehr harsch kritisiert und gar als "Scheiße" bezeichnet. Dennoch versucht das Systemd-Projekt, DNSSEC für Linux zu implementieren. Die Gründe dafür sind zunächst sehr pragmatisch.

Stellenmarkt
  1. L-Bank, Karlsruhe
  2. Bundesamt für Migration und Flüchtlinge, Nürnberg

Denn, so Poettering, wenn es die Möglichkeit dazu gebe, "sollten wir es nutzen". Das ist vor allem deshalb sinnvoll, weil DNSSEC ein Ansatz ist, um das Domain Name System (DNS) abzusichern, indem die DNS-Einträge signiert werden und damit Domains theoretisch verifiziert werden können.

Ein Resolver für alle Clients

Damit diese Idee tatsächlich funktioniert, muss dies letztlich aber auch auf den Rechnern von Nutzern umgesetzt werden, nicht nur wie bisher auf einigen DNS-Servern. In unserem Kommentar schrieben wir noch, dass dies eher unrealistisch erscheint, denn jedes System benötigt dafür einen DNS-Resolver, der DNSSEC unterstützt, womit es verschiedene Probleme gibt.

Doch genau diesen Ansatz versucht Systemd nun zu realisieren, indem die Unterstützung für DNSSEC in das Werkzeug Resolved integriert wird. Dieses wird bereits als DNS-Resolver für Networkd genutzt und unterstützt auch das von Microsoft initiierte LLMNR. DNSSEC könnte damit auf Millionen von Linux-Clients eingesetzt werden.

Fallback-Lösung für Probleme mit Clients

Falls Resolved aber standardmäßig DNSSEC forcieren würde, wären sehr viele aktuelle Nutzungsszenarien unmöglich. Poettering spricht beispielsweise von seinem Firmen-Netzwerk aber auch seinem Heim-Netzwerk, die mit der zwangsweisen Umsetzung nicht mehr oder nur noch sehr eingeschränkt funktionsfähig wären.

Denn möchte ein Nutzer etwa die Konfigurationsoberfläche seiner Fritzbox unter der Domain fritz.box aufrufen, muss DNSSEC dies verhindern, da diese Domain nachweisbar nicht im DNS existiert. Darüber hinaus unterstützen einige Provider DNSSEC nicht, so dass Nutzer sehr viele Probleme bekämen, sollte ihr Betriebssystem die Nutzung der Technik erzwingen.

Um diesen Problemen zu vermeiden, will das Systemd-Team eine Regelung umsetzen, welche die Verwendung von DNSSEC "aggressiv herunterstuft". Das heißt: Nur wenn das System durch das Eingreifen eines Administrators entsprechend konfiguriert ist, wird DNSSEC auch im Client verwendet.

Ob es allerdings sinnvoll ist, eine Sicherheitstechnik mit eingebautem Fallback zu implementieren, ist eine fast schon philosophische Frage. Wie viele Nutzer DNSSEC dank der Umsetzung in Systemd erreichen wird, muss sich erst zeigen. Vermutlich werden die meisten Anwender hauptsächlich Administratoren sein, die DNSSEC einfach in ihrer Infrastruktur einsetzen wollen. Angesichts der bisherigen Probleme damit und der immer noch sehr geringen Einsatzrate des Protokolls werden das wohl nur sehr wenige sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de

ikhaya 26. Okt 2017

Bei der AVM Sache ist es aber keine Lösung, denn die .box Domain gibt es inzwischen auch...

elgooG 02. Feb 2016

Da kann ich dir nur zustimmen. Die Podcasts von Tim Pritlove sind allgemein absolut...

SelfEsteem 01. Feb 2016

Ich mach 'ne Flasche Champagner auf, wenn die das tun ;P

SelfEsteem 01. Feb 2016

Oh je. Eine "Meinung" hat man ueber Dinge, die sich nicht ueberpruefen lassen. So kann...

Galde 31. Jan 2016

"Wie man in den Wald ruft, so schallt es heraus"


Folgen Sie uns
       


Star Wars Jedi Fallen Order angespielt

In Star Wars Jedi Fallen Order kämpft der Spieler als junger Jedi-Ritter gegen das schier übermächtige Imperium.

Star Wars Jedi Fallen Order angespielt Video aufrufen
Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

    •  /