DNSSEC zu schwer für das BSI?

Die DNSSEC Validierung von bsi-für-bürger.de scheitert. Die Kontaktaufnahme zum BSI scheitert beinahe auch.

Wir betreiben validierende DNS Resolver für uns und unsere Kunden. Selbstverständlich prüfen wir die Fehlermeldungen bei der Validierung und dabei fiel heute ein durchaus prominenter Name ins Auge: www.bsi-für-bürger.de.

Eine nähere Untersuchung zeigt, daß bei der DENIC auf den Schlüssel 10876 verwiesen wird:

xn--bsi-fr-brger-hlbd.de. DS  10876 5 2 ...
;; Received 438 bytes from 2001:67c:1011:1::53#53(n.de.net)

Die verantwortlichen Nameserver dagegen kennen keinen solchen Schlüssel, sondern komplett andere:

xn--bsi-fr-brger-hlbd.de. DNSKEY 256 3 5 ...; key id = 30142
xn--bsi-fr-brger-hlbd.de. DNSKEY 257 3 5 ...; key id = 5212
;; Received 789 bytes from 81.92.4.138#53(ns3.klute-thiemann.de)
dnssec-bsi

Korrekterweise lehnt unser Resolver die Validierung ab und liefert statt eines Ergebnisses eine Fehlermeldung. Die Gegenprüfung bei dnsviz bestätigt die Analyse. Vermutlich hat ein Schlüsselwechsel stattgefunden, der nicht korrekt durchgeführt wurde. Diese Kommunikationsfehler beim KSK-Rollover sind leider häufiger.

Die erste Reaktion auf einen solchen Vorfall ist der direkte Kontakt zu einem Verantwortlichen vor Ort, um auf den Fehler hinzuweisen. Unglücklicherweise war das schwieriger als erwartet: Die telefonische Kontaktaufnahme scheiterte mehrfach an Weiterverbindungen ins Nirvana oder zu Personen die sich als unzuständig betrachten. Schließlich empfahl die Zentrale doch kostenpflichtig die 01805 Nummer anzurufen: Nein danke. Als dann endlich das "Service-Center" erreicht wurde, bat man um E-Mail mit der Problembeschreibung, damit man es intern an den hoffentlich richtig Verantwortlichen weiterreichen könne.

Auch diese Kommunikationsschwierigkeiten sind bei der Einführung von DNSSEC häufig zu beobachten: Die Technik betrachet DNSSEC als ihr ureigenes interes Projekt, über das sie nicht weiter reden müssen. Dabei wirkt jeder Fehler, den man im Zusammenhang mit DNSSEC macht, extern wie ein Angriff auf die Infrastruktur. Deswegen gehört zur Einführung von DNSSEC immer eine interne Schulung der Mitarbeiter, insbesondere die Kontakt zum "Endkunden" haben, dazu. Ebenso sind Eskalationspläne zu erstellen, um im Falle eines Falles schnell und professionell reagieren zu können.

Bleibt die Frage, warum man diesen Fehler nicht selbst bemerkt hatte. Ein glaubwürdige Vermutung besteht darin, daß das Browser-Plugin keinen Fehler anzeigt. Und das liegt schlicht daran, daß keine eigne Webseite unter der URL http://www.bsi-für-bürger.de hinterlegt ist, sondern direkt auf https://www.bsi-fuer-buerger.de umgeleitet wird. Dort ist aber DNSSEC in Ordnung: Es läuft erfolgreich ein KSK-Rollover.

Geht doch!

Update: Am folgenden Montag war das Problem behoben. Die Rückmeldung per E-Mail war kurz und knackig. Also nochmal ein "Geht doch!"

Post a comment

Related content