Ich habe gestern im Krautspace ein paar Takte zu DNS im Allgemeinen und DNSSEC im Speziellen erzählt.

Ziel des Abends war es, die Schibboleth vorzustellen, die es braucht um DNSSEC mit Bind und OVH zum laufen zu bekommen und diese will ich hier nochmal für die Nachwelt hinterlassen. Ich habe das ganze für die Domain „kaoskinder.de“ gemacht.

Zurest erzeugt man einen „zone signing key“:

1
dnssec-keygen -a RSASHA512 -b 4096 -n ZONE kaoskinder.de

Danach brauchts noch einen „key signing key“:

1
dnssec-keygen -f KSK -a RSASHA512 -b 4096 -n ZONE kaoskinder.de

Diese Befehle erzeugen 4 Dateien:

  • Kkaoskinder.de.+010+11091.key
  • Kkaoskinder.de.+010+11091.private
  • Kkaoskinder.de.+010+13430.key
  • Kkaoskinder.de.+010+13430.private

Die key-Dateien enthalten die öffentlichen Schlüssel und die private-Dateien aus offensichtlichen Gründen die privaten Schlüssel.

Als nächstes inkludiert man die key-Dateien in die Zone-Datei:

1
2
$INCLUDE Kkaoskinder.de.+010+11091.key
$INCLUDE Kkaoskinder.de.+010+13430.key

Danach muss man die zone-Datei unterschreiben:

1
dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o kaoskinder.de -t db.kaoskinder.de.zone

Diesen Schritt muss man alle 30 Tage wiederholen, da dann die Signaturen auslaufen.

Der letzte Schritt erzeugt eine unterschriebene Zonen-Datei „db.kaoskinder.de.zone.signed“, diese muss dann noch in die bind-Konfiguration eintragen.

Jetzt kann man z.B. mit dem Verisign DNSSEC Debugger schonmal testen ob DNSSEC funktioniert. Es wird noch eine Fehlermeldung kommen, das kein DS-Record in der übergeordneten Zone existiert. Dieser Fehler wird in dem nächsten Schritt behoben, in dem wir unseren öffentlichen Schlüssel bei OVH eintragen.

Dazu loggt man sich im alten OVH Interface ein. Danach wählt man oben die gewünschte Domain, wählt im linken Menü „Domain & DNS“, dann rechts oben „Sichere Delegation (DNSSEC)“. Dort klickt man auf „Änderung“.

Jetzt sucht man sich eine der beiden key-Dateien aus, ich habe jetzt die Datei „Kkaoskinder.de.+010+11091.key“ ausgewählt. Die Datei sieht wie folgt aus:

1
2
3
4
5
; This is a key-signing key, keyid 11091, for kaoskinder.de.
; Created: 20150407191914 (Tue Apr  7 21:19:14 2015)
; Publish: 20150407191914 (Tue Apr  7 21:19:14 2015)
; Activate: 20150407191914 (Tue Apr  7 21:19:14 2015)
kaoskinder.de. IN DNSKEY 257 3 10 AwEAAZ5v3RLmjVMcjEodqam6IXkkG9NQp3G88hddDY1VClGtIsJtgU42 6t61fDrKoHFRn607lbn06OkCre9fWBophP4xTt9sX877yNb1LRtOpLAS lEYY8p4w6OiDv3CMoyT6oO7j+L3g3puYc+57NmFa4hzWFrEF4RuVis4b argcPudoTISwA+/DB3C5UNwOQB5WsnSEXd4krVO/49Gs2FIOCj3/4Ja6 g/v3x0R3axkLZV1PnawYlDVpAI0qI3xXhxlzZvT64GI+HYQds3Im+Bvs aMO1S224xm/99v0TKwSLfPenX3DW0VpRY5efvUgVUu8zl6HaEQolLLmu ZaKVe9kEn/9mzDX30SkBtNNc0athdNDRofd710n86SnybDpn5K0qME7W qcW6n53voAaObv1yR3dmvFsVeu2dRhYHHqOzMH94JnqixsjTAGH80DKR ZjMEK666Va1jgBY928XPRx3zH8thQe+FrOK4Ad/kihZYwi9kovKeGBdl VVZDoI/CaRjdhSzpBShyXakNhNWtSo/qs7QN4TjxDdN9TYPKLSToIc2m mzvG/u5saTh/oTDSkP9Xh3bOceFKAV5iJJDVo5oDEUYNCyQL5YvcYJ1R tD2Fb1mzIrvPyOq5q3MDDhTjPEqBqiiVYwDKJ4eMy81AuxLUG4+Bekbc iprdIfcp3HdR6QAZ

Der Wert nach keyid trägt man bei Kennung ein, die Zahl nach DNSKEY wählt man bei Flags aus. Als Algorithmus wählt man 10. Bei „öffentlicher Schlüssel“ trägt man den ganzen Kram hinter der 10 ein, also von „AwEAAZ5v“ bis „HdR6QAZ“. Dann klickt man auf „Bestätigen“ und wartet auf die Erfolgsmeldung.

Jetzt da die Zone per DNSSEC gesichert ist, kann man sich auch den schönen Sachen wie DANE oder SSHFP hinwenden.

Umgangssprachlich steht „kalter Kaffee“ ja für eine veraltete Nachricht, aber nicht in meinem Fall. Denn der kalte Kaffee ist diesmal wörtlich zu nehmen. Es gibt nämlich die Möglichkeit Kaffee kalt zu brühen. Hier eine kleine Beschreibung von dem, was ich gemacht habe.

Ich habe zuerst alles gesammelt was ich so brauche:

  • 200 Gram Kaffeepulver
  • 1 Liter Wasser
  • 1 Kaffeefilter (Hatte ich nicht da, ich habe stattdessen ein feines Sieb genommen)
  • 2 große Behälter

Ich habe das Pulver in den Behälter gegeben und dann nochmal gut umgerührt, damit das ganze Pulver auch feucht wurde. Das sah dann so aus:

freshly brewed cold coffee .

Dann war erstmal das große Warten angesagt. Um genau zu sein 12 Stunden. Danach habe ich den Kaffee gefiltert. Die einfache Variante zum Filtern ist wie oben schon geschrieben ein normaler Kaffeefilter. Da ich sowas aber nicht zur verfügung hatte, verwendete ich ein feines Sieb. Das hat auch gut funktioniert. Mein gefiltertes Produkt sah so aus:

freshly brewed cold coffee .

Eine wichtiger Hinweis: Das hier ist ein Konzentrat, also besser nicht unverdünnt trinken. Meine Anleitung schlägt 2 Einheiten warmes Wasser auf 1 Einheit Konzentrat vor. Mir war das allerdings immer noch etwas zu stramm und ich hatte danach Mühe die Finger ruhig zu halten.

So als Fazit kann ich sagen, dass jeder der gerne Kaffee trinkt, es auf jeden Fall ausprobieren sollte. Kalt gebrühter Kaffee ist im Geschmack wesentlich milder, auch wenn er seine Wirkung immer noch, wenn nicht noch besser entfaltet. Die Kehrseite ist natürlich der erhöhte Aufwand der Zubereitung. Ich werde für den Morgenkaffee erstmal bei warm Gebrühtem bleiben. Aber wenn es mal wieder wärmer wird, werde ich das nochmal angehen, den Mixer auspacken, ein paar Eiswürfel, Vanille-Eis, etwas Milch und ordentlich Kaffee-Konzentrat reinschütten, eben einen leckeren Eis-Kaffee zubereiten und genießen ;)

Mal was locker flockigen Jazz für zwischendurch.

Ich finde ja, oft kommt es nicht so richtig rüber, wie weit und unermesslich das Weltall ist. In dem Video „Riding light“ sieht der Betrachter wie sich das Licht der Sonne vom Inneren unseres Sonnensystems bis zum Planeten Jupiter in Echtzeit bewegt. Einen anderen Ansatz verfolgte das Video „Power of Ten“ aus dem Jahr 1977, in dem in 10s die Entfernung immer um 10 mulitipliziert wurde.