Abo
  • Services:

Lennart Poettering: Systemd implementiert DNSSEC trotz Bedenken

DNSSEC hat sehr viele praktische Probleme. Dennoch wird Systemd die Technik zum Absichern von DNS implementieren - auch wenn Systemd-Hauptentwickler Lennart Poettering das Protokoll selbst als "Scheiße" bezeichnet.

Artikel veröffentlicht am ,
Lennart Poettering (links) und Kay Sievers
Lennart Poettering (links) und Kay Sievers (Bild: Fabian Hamacher/Golem.de)

In einem Kommentar im Sommer 2015 haben wir das Protokoll DNSSEC schon abgeschrieben und für gescheitert erklärt. Auch Systemd-Gründer Lennart Poettering hat es in seiner Keynote auf der diesjährigen Fosdem mehrfach sehr harsch kritisiert und gar als "Scheiße" bezeichnet. Dennoch versucht das Systemd-Projekt, DNSSEC für Linux zu implementieren. Die Gründe dafür sind zunächst sehr pragmatisch.

Stellenmarkt
  1. Bosch Gruppe, Leonberg
  2. Clariant SE, Sulzbach (Taunus)

Denn, so Poettering, wenn es die Möglichkeit dazu gebe, "sollten wir es nutzen". Das ist vor allem deshalb sinnvoll, weil DNSSEC ein Ansatz ist, um das Domain Name System (DNS) abzusichern, indem die DNS-Einträge signiert werden und damit Domains theoretisch verifiziert werden können.

Ein Resolver für alle Clients

Damit diese Idee tatsächlich funktioniert, muss dies letztlich aber auch auf den Rechnern von Nutzern umgesetzt werden, nicht nur wie bisher auf einigen DNS-Servern. In unserem Kommentar schrieben wir noch, dass dies eher unrealistisch erscheint, denn jedes System benötigt dafür einen DNS-Resolver, der DNSSEC unterstützt, womit es verschiedene Probleme gibt.

Doch genau diesen Ansatz versucht Systemd nun zu realisieren, indem die Unterstützung für DNSSEC in das Werkzeug Resolved integriert wird. Dieses wird bereits als DNS-Resolver für Networkd genutzt und unterstützt auch das von Microsoft initiierte LLMNR. DNSSEC könnte damit auf Millionen von Linux-Clients eingesetzt werden.

Fallback-Lösung für Probleme mit Clients

Falls Resolved aber standardmäßig DNSSEC forcieren würde, wären sehr viele aktuelle Nutzungsszenarien unmöglich. Poettering spricht beispielsweise von seinem Firmen-Netzwerk aber auch seinem Heim-Netzwerk, die mit der zwangsweisen Umsetzung nicht mehr oder nur noch sehr eingeschränkt funktionsfähig wären.

Denn möchte ein Nutzer etwa die Konfigurationsoberfläche seiner Fritzbox unter der Domain fritz.box aufrufen, muss DNSSEC dies verhindern, da diese Domain nachweisbar nicht im DNS existiert. Darüber hinaus unterstützen einige Provider DNSSEC nicht, so dass Nutzer sehr viele Probleme bekämen, sollte ihr Betriebssystem die Nutzung der Technik erzwingen.

Um diesen Problemen zu vermeiden, will das Systemd-Team eine Regelung umsetzen, welche die Verwendung von DNSSEC "aggressiv herunterstuft". Das heißt: Nur wenn das System durch das Eingreifen eines Administrators entsprechend konfiguriert ist, wird DNSSEC auch im Client verwendet.

Ob es allerdings sinnvoll ist, eine Sicherheitstechnik mit eingebautem Fallback zu implementieren, ist eine fast schon philosophische Frage. Wie viele Nutzer DNSSEC dank der Umsetzung in Systemd erreichen wird, muss sich erst zeigen. Vermutlich werden die meisten Anwender hauptsächlich Administratoren sein, die DNSSEC einfach in ihrer Infrastruktur einsetzen wollen. Angesichts der bisherigen Probleme damit und der immer noch sehr geringen Einsatzrate des Protokolls werden das wohl nur sehr wenige sein.



Anzeige
Hardware-Angebote
  1. 915€ + Versand
  2. ab 119,98€ (Release 04.10.)

ikhaya 26. Okt 2017

Bei der AVM Sache ist es aber keine Lösung, denn die .box Domain gibt es inzwischen auch...

elgooG 02. Feb 2016

Da kann ich dir nur zustimmen. Die Podcasts von Tim Pritlove sind allgemein absolut...

SelfEsteem 01. Feb 2016

Ich mach 'ne Flasche Champagner auf, wenn die das tun ;P

SelfEsteem 01. Feb 2016

Oh je. Eine "Meinung" hat man ueber Dinge, die sich nicht ueberpruefen lassen. So kann...

Galde 31. Jan 2016

"Wie man in den Wald ruft, so schallt es heraus"


Folgen Sie uns
       


Chuwi Higame im Test

Auf Indiegogo hat das Chuwi Higame bereits mehr als 400.000 US-Dollar erhalten. Der Mini-PC hat dank Kaby Lake G auch das Potenzial zu einem kleinen Multimediawürfel. Allerdings nerven die Lautstärke und ein paar Treiberprobleme.

Chuwi Higame im Test Video aufrufen
Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

    •  /