Snart byts en av internets huvudnycklar – så påverkas du

Torsdagen den 11 oktober byts en av hela internets huvudnycklar ut. Men vad betyder det för vanliga användare, och vad behöver DNS-operatörer göra?

Efter lång tids planering och ett tidigare uppskjutet försök är det nu dags. Bytet av huvudnyckeln till DNSSEC – det säkerhetssystem som ser till att du faktiskt kommer till den plats du tänkt på internet – genomförs på torsdag den 11 oktober klockan 18.00 svensk tid.

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, förklarar vad detta innebär.

Vad är det för nyckel som ska bytas?

DNSSEC är ett system med digitala signaturer som förhindrar att någon använder falsk DNS-data för att till exempel styra om användarnas trafik till en falsk webbsida och därefter försöka stjäla inloggningsuppgifter och annan känslig information. Med DNSSEC har man en digital signatur som går att kolla mot huvudnyckeln – går ens signatur inte att verifiera mot nyckeln tar det stopp.

Vad är det som händer på torsdag?

Torsdagen den 11 oktober ska DNSSEC:s huvudnyckel för första gången bytas. Det görs inte för att den är röjd eller på grund av någon annan typ av kris – precis tvärtom. Man vill göra bytet under förhållanden när allt är okej för att vara bättre förberedd om det någon gång skulle behöva bytas i ett krisläge. Dessutom borde ett sådant här byte, en KSK rollover, gjorts för länge sedan. När DNSSEC infördes bestämdes att nyckeln skulle bytas efter fem år – nu har det gått åtta.

Hur kommer man märka detta om man är en vanlig internetanvändare?

Om allt går bra, som det antagligen kommer att göra, kommer man inte att märka det alls.  Bytet var planerat till förra hösten och under det år som passerat har de flesta DNS-serveradministratörer redan fått den nya nyckeln.  Skulle de inte ha installerat de nödvändiga uppdateringarna kan det dock betyda att du som internetanvändare till exempel inte kan nå webbplatser eller att dina mejl inte når fram.

Vad kan man göra om man är DNS-operatör?

Som redan nämnts förväntas det inte bli några omfattande störningar. Om man ändå får problem rekommenderar vi först att bara försöka starta om DNS-servern. Om du fortfarande ser att DNS inte fungerar korrekt kan du tillfälligt byta till en publik DNS-operatör. Dessa DNS-operatörer kör DNSSEC-aktiverade publika resolvrar. Du kan byta till någon av dem genom att konfigurera deras publika DNS-tjänst i /etc/resolv.conf.

En mer detaljerad hjälp för dig som är DNS-operatör finns hos Internet Society. Mer information från Internetstiftelsen finns att läsa här (på engelska).