nyckelceremoni

Hur mycket DNSSEC är världen?

Snart är det dags för den femte ceremonin för att framställa nycklar för signering av rotzonen. Men fortfarande är det förvånansvärt få som börjat göra sina webbplatser säkrare genom DNSSEC. Det är hög tid att banker, medieföretag, statliga myndigheter, e-handelsplatser och alla andra huvuddomäner vaknar.

Om bloggaren

Anne-Marie Eklund-Löwinder Säkerhetschef, .SE Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för Internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om Internet och säkerhet.
6 kommentarer Etiketter: , , , , , ,

DNSSEC gör domännamnssystemet - internets öppna katalogtjänst DNS – säkrare genom att bland annat webb- och e-postadresser kan verifieras så att användaren vet att de leder rätt på internet.

Med DNSSEC signeras zoner på internet kryptografiskt. Vid uppslagning av ett domännamn kontrolleras signaturen mot en nyckel hos den som ansvarar för den aktuella domänens zon.

Att internets så kallade rotzon signerades sommaren 2010 satte ändå lite fart på spridningen av DNSSEC. Eftersom rotzonen är toppen av DNS-hierarkin är det därmed enklare för de underliggande toppdomänerna att införa DNSSEC. DNSSEC bygger på kryptografiska nycklar som används för signering av innehållet i zonfilerna.

Syftet är att skydda informationen från förvanskning under transport. Nya nycklar behöver skapas med jämna mellanrum, enligt gällande policy.

Snart dags för den femte nyckelceremonin i Culpeper

Den femte ceremonin för att signera nycklar för rotzonen närmar sig. Den första ägde rum för knappt ett år sedan. Nyckelceremonin hålls av ICANN, en icke vinstdrivande  organisation vars uppgift det är att ansvara för den högsta nivån i domännamnssystemet, rotzonen.

Medverkar gör särskilt utvalda betrodda personer. Ceremonin sker omväxlande på den amerikanska östkusten och den amerikanska västkusten. På östkusten håller vi till i en fantastisk amerikansk småstad som heter Culpeper och ligger i delstaten Virginia. På västkusten håller man till i El Segundo i delstaten Kalifornien.

Själv åker jag till Culpeper den 9 maj för att vara utvilad och på plats för ceremonin den 11 maj. Jag brukar ta en promenad i den lilla staden om tillfälle bjuds.

Det går ganska fort. De har ett historiskt museum som är något av det minsta jag besökt, men det innehåller en hel del föremål från det amerikanska inbördeskriget.

Culpeper (som på den tiden hette Fairfax) var lite av en knutpunkt för trupper som förflyttades, antingen sydstatare, eller nordstatare. Det varierade med stridsframgångarna.

Favoriten är ett café som heter Raven’s Nest Coffee House och serverar det godaste kaffe man kan tänka sig.

Ceremonin sänds live

Vi samlas vid 12-tiden på dagen för att hinna passera genom alla kontroller innan själva ceremonin börjar kl 13.00 lokal tid (17.00 UTC). Vi förväntas vara klara 16.00 lokal tid (20.00 UTC).

Eftersom ICANN har som ambition att hela processen ska vara så transparent som möjligt så spelas den in på video. Både videon och annat revisionsmaterial publiceras 1-2 veckor efter ceremonin och görs tillgängligt under länken ”KSK Ceremony Materials” på https://www.iana.org/dnssec/.

ICANN har även en separat kamera där inspelningen inte görs för att kunna göra senare uppföljning vid behov, utan som livesänder för att erbjuda observatörer möjligheten att på distans följa ceremonin. Livesändningen görs som best-effort och kommer att kunna nås via http://dns.icann.org/ksk/stream/.

Ceremonin innehåller signeringen av en Key Signing Request (KSR) genererad av VeriSign och resulterar i en Signed Key Response (SKR), vilket innehåller alla signaturer som behövs för det tredje kvartalet 2011.

Fler måste ansluta

Signeringen av rotzonen som följs av signering av dussintals toppdomäner är en mycket bra början, men det är bara en bit av ett större pussel. Jag hade definitivt väntat mig ett större antal signerade huvuddomäner. Framför allt under .se. Vi har ju ändå haft möjligheten sedan 2005.

Vi behöver definitivt fler signerade domäner på nästa nivå, den under toppdomännivån, som exempelvis .se. Vi vill se fler signerade domäner för banker, medieföretag, statliga myndigheter, kommuner, e-handelsplatser och så vidare.

Vi behöver definitivt också registrarer, alltså återförsäljare av domännamn, som har förmåga att ge sina kunder stöd att signera sina domäner eller själva erbjuda sådana tjänster. Vi behöver internetoperatörer som har slagit på validering av DNSSEC-signaturer för sina kunder med rotnyckeln som tillitsankare (här ligger vi bra till i Sverige).

Än är inte världen så mycket säkrare när det gäller DNS. Det går framåt, men alltför långsamt. Om vi tar svenska kommuner som exempel så signeras de i en takt som innebär att det kommer att ta omkring 70 år innan alla är signerade. Det kan vi inte vänta på!

 

Läs mer på vår webb:

Läs mer på andra webbplatser:

Film:

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Gabriella Lönnroos 6 maj 2011, kl 14.45

    Anne-Marie, är det Buren med stort B? Har längtat efter att få en glimt av den.

    Och jag kan inte riktigt komma över att det heter nyckelsigneringsnyckel. Men visst, det är nyckeln som signerar nyckeln. :D

    Svara
    • Anne-Marie 6 maj 2011, kl 16.12

      Jo du Gabi! Detta är buren som alla måste vara inlåsta i för att vi ska komma åt de hemligheter som förvaras där inne!

      Svara
  • globalrekrytering@gmail.com 7 maj 2011, kl 21.08

    Jag hittade inget forum på Bredbandskollen.
    Nyligen hemkommen från utlandet. Där hade vi en
    bredbandskoppling via ett kabelTV bolag.
    Det svajade otroligt mycket. Från fullt ös ner till noll.
    Jobbigt. Sen kommer jag hem, och märker att Com Hem svajar också! Bredbandskollen är bra, men eftersöker svajkoll. Och ett forum för betygsättning.
    mvh
    Peter

    Svara
    • Måns Jonasson
      Måns Jonasson 9 maj 2011, kl 09.59

      Hej Peter,

      på bloggen kan vi bara svara på kommentarer om blogginläggen i sig, annars skulle det snabbt bli rörigt. Men Bredbandskollen har sin egen support, ta en titt på http://www.bredbandskollen.se/faq.php?sektion=1 så hittar du mer information där.

      /Måns, webbansvarig på .SE

      Svara
  • Rick 17 maj 2011, kl 00.54

    I agree with Anne-Marie. It is high time that domain name holders (of which there are 200M+) and other TLDs deploy DNSSEC especially since it has become so inexpensive and easy. As low as $2/domain name/year or even free for many ccTLDs. (Many options exist but here are a few examples)

    [free] http://svsf40.icann.org/meetings/siliconvalley2011/presentation-cctld-dnssec-signing-platform-16mar11-en.pdf

    [$2] http://svsf40.icann.org/meetings/siliconvalley2011/presentation-verisign-16mar11-en.pdf

    Svara
    • Anne-Marie 17 maj 2011, kl 09.00

      Official ICANN Notice:
      The fifth KSK ceremony for the root zone took place in Culpeper, VA, USA on Wednesday 2011-05-11. The Ceremony Administrator was Mehmet Akcin. The ceremony was completed successfully.

      Video from Ceremony 5 was recorded for audit purposes. Video and associated audit materials will be published in 1 to 2 weeks, and will be available as usual by following the ”KSK Ceremony Materials”
      link at .

      Ceremony 5 included processing of a Key Signing Request (KSR) generated by VeriSign, and the resulting Signed Key Response (SKR) contains signatures for Q3 2011.

      Svara