Blog


Wer keine Arbeit hat macht sich welche

05.05.2020   /   Timo Jung Kommentare

Willkommen im neuen Streamworx Blog.

wir haben uns schon einige Tage darüber Gedanken gemacht, mit welcher schönen Geschichte wir hier starten können und heute Nacht hat sich dann eine nach dem Motto "wer keine Arbeit hat macht sich welche" ergeben.

Als einer von sehr wenigen Providern in Deutschland unterstützen wir DNSSEC für alle Kundendomains und aktivieren dies innerhalb von 24 Stunden nach Bestellung händisch. Händisch da die jeweiligen Schnittstellen der beteiligten Systeme einen Austausch noch nicht vorsehen.

Man generiert also in der Hostingverwaltung eine Schlüsselpar, der eine Teil wandert ins DNS, der andere zum Domainregistrar. Soweit so gut, wenn man nicht den Fehler macht, nach dem Kopieren des für den Registrar bestimmten Teils nochmals ausversehen auf geerieren zu klicken und das neu erzeugte Schlüsselpar dann speichert. Dann hat der Registrar folglich einen Schlüssel der nicht mit dem jenigen der sich im DNS wiederfindet zusammenpasst und das wird problematisch ;-)

Im nächsten Schritt haben wir für unseren Kunden dann versucht über Letsencrypt ssl Zertifikate für die Domain zu erzeugen und da rechte sich die Unaufmerksamkeit von vor ein paar Minuten. Letsencrypt wollte nicht validieren, da es ein DNS Problem geben sollte. Die Domain war erreichbar, die Nameserver auch also was konnte es für ein sonderbares Problem sein? Auf DNSSEC sind wir dann ehr aus Zufall gekommen,

Also: alle schlüssel gelöscht, eine Frust Zigarette später die SSL  Zertifikate erneut beantragt, Zone Sauber, SSL ausgestellt.

Für alle die mit diesen Fachbegriffen nun nichts anfangen konnten, hier eine kurtze Erleuterung.

Das DNS System könnte man als Internet Telefonbuch bezeichnen. Wenn man eine Domain in seinen Browser tippt oder eine -Mail versendet, wird im DNS angefragt, welche IP-Adresse zur Domain gehört und an diese wird dann die jeweilige Anfrage zugestellt. Damit nun niemand fallsche Daten senden kann und somit Anfragen umgeleitet oder abgefangen werden können, hat man DNSSEC geschaffen. Hier wird die DNS Zone einer Domain - also die Seite des Telefonbuches auf der alle  relevanten Informationen zur Domain hinterlegt sind - signiert. So weiß das anfragende System, das die Daten authentisch sind. Das anfragende System war hier Letsencrypt, eine Organisation die kostenlose SSL Zetifikate ausstellt. SSL Zertifikate sorgen wiederum dafür, das die Kommunikation zwischen Server und z.B.Browser nicht abgehört bzw. mitgelesen werden können.

Da nun aber unsere Zone mit einem falschen Schlüssel - nämlich mit einem veralteten - signiert war, hat Letsencrypt die DNS Zone - zurecht - für manipuliert gehalten und wollte unsere Zertifikate nicht ausstellen.

Also: DNSSEC funktioniert und auch die Profis machen mal Mist. Somit muss sich kein Mensch grämen, wenn er das Netzwerk-Handwerk erlernt oder einfach in der täglichen Computernutzung auf Hürden stößt, es passiert allen; den Leien und den Profis.

Weiterlesen