DNSSEC_microsoft

Historisk nyckelrullning i rotzonen för internet

För första gången sedan rotzonen för internet signerades med DNSSEC i juni 2010 kommer ICANN att byta ut nyckelsigneringsnyckeln. Inte för att det finns någon osäkerhet med nuvarande nyckel, mest för att öva på rutinerna så att alla vet hur det går till om det skulle behöva göras mer akut. För de som driver namnservrar åt någon annan och för de som utvecklar programvaror där man använder sig av DNS är det viktigt att känna till och hålla koll på.

Under året kommer nyckelsigneringsnyckeln för rotzonen att bytas. Samtidigt som vi inte vet vilka konsekvenser det kommer att få för användarna så vet vi att alla framsteg gör internet säkrare. Februari inleddes med att IANA framgångsrikt genomförde nyckelceremoni nummer 28 för DNSSEC i internets rotzon. Delar av ceremonin ägnades åt att replikera den nya nyckelsigneringsnyckeln (KSK) som genererades på den amerikanska östkusten i oktober förra året till sajten på västkusten.

Nu när KSK:n är i tryggt förvar på båda sajterna betraktas den som tagen i drift, och filen med rotzonens tillitsankare har uppdaterats i vederbörlig ordning för att reflektera detta.

Nyckeln ska bytas ut

Den KSK som genererades 2010 är fortfarande i drift men användningen kommer att fasas ut för att så småningom helt övergå till den nya nyckeln i slutet av 2017 och början 2018, enligt planerna i nyckelrullningsprojektet där all information om projektet har samlats.

Det är alltså första gången som nyckelsigneringsnyckeln för rotzonen ska bytas, och det är omöjligt att överblicka vilka eventuella konsekvenser det kan få hos användare på internet.

En sak vet vi dock, och det är att programvaruutvecklare behöver förvissa sig om att de har den uppdaterade informationen om tillitsankare eller motsvarande uppdaterade mekanismer som gör att båda tillitsankarna kan användas för att verifiera KSK för rotzonen.

Möjligt med extra dimension

DNSSEC gör det möjligt att tillföra en extra dimension till informationssäkerheten. När vi kan verifiera svar från en DNS-server kan vi också säkert lagra publika nycklar i DNS-poster. Korrekt hanterat skapar DNSSEC-signerade zoner högre säkerhet genom att förhindra mannen-i-mitten-attacker och cache-förgiftning med falsk DNS-data.

Till min stora glädje har myndigheterna i Nederländerna beslutat att både DANE och STARTTLS ska användas inom offentlig förvaltning för att skydda kommunikation via elektronisk post. Norge slår in på samma väg. Min fromma förhoppning är att Sverige och andra länder ska följa efter. Hellre förr än senare.

Spridningen av DNSSEC går samtidigt vidare:

  • 89 procent av alla toppdomäner är signerade.
  • 47 procent av alla landskodstoppdomäner är signerade.
  • Mängden signerade huvuddomäner varierar stort – .nl har mer än 2,5 miljoner signerade domäner medan .com bara har signerat 0,5 procent, motsvarande 600 000 zoner.

De ledande DNS-programvarorna för auktoritativa namnservrar stödjer DNSSEC och har flera års utvecklingserfarenhet bakom sig. Programvarustöd för administration av signerade zoner har börjat utvecklas, till exempel för nyckeldistribution och nyckelrullning.

Många använder fortfarande osäker algoritm

När det gäller val av algoritmer och nyckellängder använder en överväldigande majoritet algoritmen RSA/SHA 256 med 2048 bitar för nyckelsigneringsnycklar (KSK) och 1024 bitar för zonsigneringsnycklar (ZSK). Zonsigneringsnyckeln för rotzonen utökades från 1024 till 2048-bitars RSA hösten 2016. Ett stort antal zoner använder dock fortfarande den mer osäkra algoritmen SHA-1. Framväxten av elliptisk kurvteknik (ECDSA) ligger nu på fem procent och växer stadigt. Allt enligt en rapport utgiven av Internet Society i december 2016.

När det gäller validering, det vill säga kontroll av äktheten hos signerade svar, stöds det av alla vanliga rekursiva resolverprogramvaror. Även om bara omkring 14 procent av klienterna globalt använder DNSSEC-validerande resolvrar varierar det starkt mellan olika regioner och länder. I de skandinaviska länderna använder mer än 50 procent DNSSEC-validerande DNS-resolvrar.

Så på det stora hela har spridningen av DNSSEC gjort stora framsteg sedan roten signerades 2010. Och vi får ett säkrare internet.

För den som vill veta mer:

Prenumerera på mejllistan: https://mm.icann.org/listinfo/ksk-rollover

Följ ICANN på Twitter: @ICANN Hashtag: #KeyRoll

Besök webbplatsen: https://www.icann.org/kskroll

Etiketter: , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS

Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.