nyckel-key-cc-by

Internets rotzon byter nyckel

I oktober i år kommer den nyckel som har använts för att signera rotzonen sedan 2010 att bytas ut. DNS-operatörer som utför DNSSEC-validering bör därför säkerställa att alla system är uppdaterade.

Internet Corporation for Assigned Names and Numbers (ICANN) har till uppgift att se till att internet globalt är stabilt, säkert och hänger ihop. ICANN koordinerar den översta nivån av domännamnssystemet (DNS), det som kallas rotzonen. Rotzonen spelar en avgörande roll för hur DNS konverterar domännamn till IP-adresser världen över. Utan en smidig DNS-uppslagningsprocess kan inte internet fungera så som det gör idag.

Rotzonen är sedan 2010 försedd med en digital signatur med hjälp av ett säkerhetsprotokoll som kallas DNS Security Extensions (DNSSEC) och som lägger ett lager av tillit på toppen av DNS. Signaturen erbjuder ett sätt att kontrollera äktheten hos DNS-data. Genom att validera DNSSEC-signaturen kan nätoperatörer skydda sina användare från en form av attack som kallas ”cache poisioning” och som innebär att någon kan styra om användarnas trafik till exempelvis en falsk webbsida och därefter stjäla inloggningsuppgifter eller annan känslig information.

Införandet av DNSSEC är frivilligt och det är inte alla nätoperatörer som har slagit på validering av DNSSEC-signaturer, men de som har det kan komma att påverkas av en förändring som kommer att ske i höst. Ändringen innebär att  en viktig parameter som används för att validera äktheten hos signaturer i DNS, nämligen nyckelsigneringsnyckeln (KSK) för rotzonen, byts ut. Ändringen kommer att genomföras den 11 oktober 2017.

Vad är det här?

DNSSEC är en funktion som gör internet säkrare genom att försvåra möjligheten att manipulera den information som trafikerar domännamnssystemet. Det är genom uppslagningar i domännamnssystemet DNS som det går att hitta fram till rätt dator på internet när man till exempel surfar eller skickar e-post till en viss adress. DNS är en gigantisk, distribuerad databas som översätter domännamn till IP-adresser, det vill säga de unika nummerserier som identifierar internetuppkopplade datorer. Man kan likna det vid hur en telefonkatalog ”översätter” namn till telefonnummer. DNSSEC är det enda riktigt effektiva sättet att få en säker domän som inte kan utsättas för attacker där svaren på DNS-uppslagningar förfalskas. Med DNSSEC signeras DNS-uppslagningar med kryptografiska nycklar och genom att kontrollera signaturen mot nyckeln för rotzonen säkerställs att svaren verkligen kommer från rätt källa och inte har ändrats under överföringen.

Hur fungerar det?

DNSSEC innebär att användaren, när hen gör en uppslagning i DNS, genom validering av signaturer ska kunna avgöra om informationen som denne får tillbaka som svar kommer från rätt källa eller om den har manipulerats på vägen. Det är alltså svårt att förfalska information i DNS som är signerad med DNSSEC utan att det upptäcks. För gemene man innebär DNSSEC en minskad risk för att bli utsatt för bedrägerier vid till exempel bankaffärer eller shopping på nätet, eftersom det blir lättare för användaren att fastställa att man verkligen kommunicerar med rätt bank eller butik och inte någon bedragare.

DNSSEC fungerar genom att data i DNS signeras med hjälp av asymmetrisk kryptering. Korrekt DNSKEY-data autenticeras via en tillitskedja som startar med en uppsättning av verifierade publika nycklar för DNS rotzon. Den verifierade publika nyckeln är den öppna delen av KSK:n (nyckelsigneringsnyckeln).

Vad händer?

Den 11 oktober 2017 kommer den nyckel (KSK) som har använts för att signera rotzonen sedan 2010 att bytas ut. Den som efter detta datum inte har den nya nyckeln installerad i de namnservrar som används för uppslagning i DNS (resolvrar) kan inte heller nå de resurser på nätet som är signerade med DNSSEC, eftersom riktigheten i svaret inte längre går att kontrollera.

Varför händer det?

Primärt genomförs nyckelbytet för att höja beredskapen hos ICANN:s personal genom att öva. En KSK har egentligen inget bäst före-datum, skälet till bytet är inte heller några kända svagheter. Däremot är det dålig krypteringspraxis att låta nycklar leva för länge. Det är också en stor fördel att öva processer och rutiner för nyckelbyte under normala och kontrollerade förhållanden. Det kan uppstå mer onormala förhållanden, till exempel om en nyckel röjs. Om det skulle inträffa behöver alla veta hur man gör för att akut byta nyckel.

Viktiga datum

  • 2017-07-11  KSK-2017 publiceras i rotzonen
  • 2017-09-19  Storleken på DNSKEY-svar från rotnamnsserver ökar
  • 2017-10-11  Den nya KSK-2017 används för att signering av DNSKEY RR set (själva nyckelrullningen
  • 2018-01-11  KSK-2010 publiceras som revokerad
  • 2018-03-22  KSK-2010 tas bort från rotzonen
  • 2018-08       KSK-2010 tas bort från alla HSM:er hos IANA
  • 2018-08-31  KSK-rullningen bedöms vara avslutad

Vad behöver jag göra?

DNS-operatörer som utför DNSSEC-validering bör säkerställa att alla system (resolvrar) är uppdaterade med den nya nyckeln (tillitsankare) och att de kontrollerar signaturen med den nya KSK:n. Detta sker automatiskt med de flesta moderna resolvrar tack vare RFC5011. Att uppdatera KSK:n är väsentligt för att validering av DNSSEC-signaturer i DNS-resolvrar ska fortsätta att fungera efter övergången. Utan den aktuella rotnyckeln (KSK) kommer validering inte ske och DNS-resolvrar kommer inte att svara på några DNS-frågor om signerade domäner.

Det betyder att om man har stöd för RFC5011, som till exempel i moderna versioner av Unbound eller BIND, räcker det att man verifierar att den nya nyckeln är på plats någon gång under andra halvan av augusti. Om den inte är det måste man vidta manuella åtgärder.

Om man har äldre programvara som inte har stöd för RFC5011 lägger man in den nya nyckeln parallellt med den gamla redan nu, eller när man upptäcker att (1) inte fungerar mot slutet av augusti. Alternativt bör man överväga att uppdatera till en modernare programvara.

Den 19 september kommer även paketstorleken på svar från rotservrarna öka då man under en period använder flera nycklar som signerar. För att testa om man kan hantera den ökade paketstorleken, alltså se vad ens egna resolvrar tål, kan man testa det redan nu på https://www.dns-oarc.net/oarc/services/replysizetest

Vad blir följden om nyckeln inte byts? 

I och med att validering av signaturer inte kan ske om man saknar den nya DNSSEC-nyckeln för rotzonen kommer man heller inte att kunna nå de resurser man ville nå, som till exempel att surfa till en webbplats eller skicka mejl.

Vad måste jag göra om jag nu inte fick någon automatisk nyckelrullning?

Det beror på vad du har för resolverprogramvara. Antingen sker rullningen automatiskt eller så kräver den manuell handpåläggning. För att ta reda på hur det är i just ditt fall bör du kontakta leverantören av programvaran. Du kan också testa om dina system har stöd för automatiskt nyckelbyte på den testbädd som ICANN tillhandahåller: https://go.icann.org/KSKtest

Det kan vara lagom att titta någon gång i slutet av augusti om det har fungerat.  Då bör du hitta två KSK:er som DNSKEY/DS-post.

Här hittar du mer information!

Mejllista: https://mm.icann.org/listinfo/ksk-rollover

Följ ICANN på Twitter: @ICANN Hashtag: #KeyRoll

Webbplats: https://www.icann.org/kskroll

Frågor?

Kontakta registry@iis.se