ankare

Negativa tillitsankare för DNSSEC – därför är det en dålig idé

DNSSEC är fortfarande på stark tillväxt, inte minst hos andra TLD:er. I takt med att andra marknader än lilla Sverige tar fart så ökar också oron över att DNS-operatörer gör fel och domäner slås ut och slutar fungera.

Oron är berättigad, det är svårare att köra DNS med DNSSEC. Det ställer helt enkelt högre krav på operatören, eftersom en kontinuerlig drift är ett krav. DNS utan DNSSEC är betydligt mer förlåtande mot slarvfel.

Eftersom risken för att domäner slutar fungera ökar så funderar större internetoperatörer på hur den här risken ska hanteras. Den som drabbas är förutom domäninnehavaren också operatörens slutkunder, eftersom de inte kan nå domänen. Är domänen tillräckligt viktig så kan man också förvänta sig att de hör av sig till sin operatör, och eftersom marginalerna på en slutkund är såpass små så kommer varje kontakt med kundtjänst att kosta operatören rejält. Så vid större problem så kommer kundtjänst helt enkelt att bli överbelastad.

Diskussion om negativa tillitsankare

Eftersom operatörerna vill minska sin risk (och därmed sina kostnader) så är det många som vill att viktiga DNSSEC-domäner som inte fungerar hamnar i någon form av lista över domäner som ändå ska fungera i en form av vitlista i operatörens resolver, en slags negativa tillitsankare (Negative Trust-anchors). Denna lösning har nu diskuterats på olika DNS-e-postlistor ett längre tag. Och det är många, inte minst vi svenskar, som opponerar oss mot den här lösningen. Detta eftersom bördan då hamnar hos operatörer som inte har någon relation till domäninnehavaren och vet inte heller varför domänen inte fungerar. Antalet domäner med fel kommer att öka om inte operatörerna själva ser till att fixa problemet.

En annan variant på samma tema är att öka eller sänka TTL (Time To Live, det vill säga hur länge informationen ska mellanlagras) på DNS-informationen beroende på riskanalys. Kör man inte DNSSEC kan man tänka sig att man vill ha hög TTL, vilket gör att informationen mellanlagras en längre tid. Det kommer att innebära att domänen tycks fungera trots att DNS-operatörens egen tjänst slagits ut. Precis tvärtom blir det med DNSSEC. Har man problem med DNSSEC kommer höga TTL:er innebära att trasig information mellanlagras under en lång tid. Här vill man i stället ha korta TTL:er.

Så har vi löst det i .se-zonen

I .se-zonen har vi i stället löst det som så att vi har TTL i en timme på DS-posten. Det är nämligen DS-posten som styr ifall kundens domän ska vara betraktad som signerad med DNSSEC eller inte för att validering ska ske med DNSSEC. Annan DNS-information (NS för delegering och glue) satt TTL:en till ett dygn, vilket är en rimlig avvägning för normal DNS-drift. En längre TTL kommer nämligen innebära att förändringar i DNS kommer att ta längre tid än ett dygn att propagera ut till resolvrarna. Det är också bland annar de här värdena som gör att det kan ta tid för DNS-förändringarna att slå igenom ute ”på internet”.

Eftersom vi uppdaterar .se-zonen varannan timme så kommer en borttagning av DS för en trasig domän att vara åtgärdad inom två timmar vid problem. Och det här tycker vi är en bättre lösning än att resolver-operatörerna ska hålla rätt på den här typen av DNSSEC-problem.

Läs mer på vår webb:

  • Fler blogginlägg från Patrik
  • Om DNSSEC
  • Om DNS
Etiketter: , , , , , , , Foto: The Anchor - Alderney av Neil Howard (CC BY-NC 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Patrik Wallström DNS-expert på IIS Patrik är en av de som sett till att .se som första landstoppdomän i världen signerades med DNSSEC och att IIS var först med att erbjuda en kommersiell DNSSEC-tjänst. Patrik jobbade på IIS fram till hösten 2016.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.