DNS

DNSSEC für die root

von

Seit gestern liefern die DNS root Nameserver nicht mehr den DURZ aus, sondern sind mit einer echten Signatur versehen. Der Übergang verlief in meinen Augen weitgehend unbemerkt. Probleme sind mir keine bekannt. Damit ist ein wichtiger Schritt getan um DNSSEC weiter zu etablieren. Jetzt heißt es auch erstmal die DNS Resolver neu zu konfigurieren, damit die Validierung von der root aus korrekt klappt. Hier noch ein paar interessante Seiten zu diesem Thema:

Bind9 Views

von

Eine Sache, die ich beim DNS-Server Bind9 bisher nicht kannte sind Views. Damit kann man abhängig von der anfragenden IP-Adresse bestimmte Einstellungen aktiv setzen und so z.B. Rekursion erlauben oder verbieten, oder abhängig von der IP andere Zonefiles ausliefern. Ein Anwendungsbeispiel wäre z.B. an die IP 127.0.0.1 (localhost) eine unsignierte Zone auszuliefern, die von einem signierenden Proxy wie OpenDNSSEC per AXFR abgeholt und signiert wird. Die signierte Version der Zone wird dann an alle öffentlichen IP-Adressen ausgeliefert.
Ein sehr guter Artikel mit Praxisbeispielen ist Views in BIND 9 – O’Reilly Media.

DNS-Rootserver nun auch IPv6-only abfragbar

von

Für 6 DNS-Rootserver sind nun auch offiziell IPv6-Adressen eingetragen. Damit ist es erstmals möglich reine IPv6 DNS-Abfragen zu machen. Mir war bisher nicht bewusst, das für die Root-Nameserver bisher offiziell nur IPv4-Adressen hinterlegt waren, was es unmöglich machte rein per IPv6 die authorativen Nameserver einer TLD zu ermitteln. Diese Lücke ist nun geschlossen. IPv6 kommt, ich wusste es… 🙂