DK-Hostmaster: Vi er klar med DNSSEC i 2010

At gøre de danske navneservere mere sikre med DNSSEC står øverst på listen efter sommerferien, lyder meldingen fra DK-Hostmaster, som forventer en fuld implementering i løbet af 2010.

Det kan kun gå for langsomt med at sikre internettets telefonbøger, DNS-serverne, med DNSSEC, der giver kryptering og langt højere sikkerhed. Sådan lød budskabet, da DNS-guruen Cricket Liu holdt oplæg i København onsdag.

Og Danmark er på vej med DNSSEC, lyder meldingen fra DK-Hostmaster og DIFO, der administrerer de danske domæner.

»Når vores nye direktør i DIFO har overstået arbejdet med at overtage dk-domænet, vil indførelse af DNSSEC være førsteprioritet,« siger Per Kølle, direktør i DK-Hostmaster, med henvisning til, at DIFO og DK-Hostmaster vandt udbuddet om administration af de danske domæner og der følger nogle procedurer i den anledning.

Tidsplanen lyder på, at DK-Hostmaster er helt installeret som 'ny' administrator i juni, og at organisationen så efter sommerferien kan sætte fuld kraft på DNSSEC-arbejdet. Efteråret skal bruges på test hos DK-Hostmaster og hos domæneregistranterne, og så kan DNSSEC-protokollen køres ud i fuld skala i 2010.

»Vi havde en høring d. 16. april, og der var det tydeligt, at DNSSEC var det, man så, at vi helst kastede os over som det første. Vi har hørt budskabet,« siger Per Kølle.

Amerikanerne spærrede for sikkerheden

DIFO og DK-Hostmaster har fulgt DNSSEC siden det blev undfanget for over ti år siden, og løbende overvejet, om det gav mening at implementere den ekstra sikkerhed.

Men det er først inden for det sidste års tid, at organisationen ICANN og det amerikanske handelsministerium, som har kontrollen over internettets rodservere, har villet signere rodzonen for toplevel-domænerne, forklarer direktøren.

»Det har været det store problem gennem årene, men nu er der åbnet for, at vi kan få rodzonen signeret,« siger han.

DNSSEC sørger ligesom for eksempel SSL til HTTP for, at kommunikationen på nettet bliver krypteret og afsenderen autentificeret, hvilket kræver en signering af de involverede navneservere. Sverige valgte dog at indføre DNSSEC på .se-domænet i 2005, altså før rodzonen kunne krypteres.

»At indføre DNSSEC uden at få signeret .dk-rodzonen svarer til at købe en lås, som så alligevel ikke låser døren. En kæde er jo ikke stærkere end det svageste led. Min indvending de år har været, at det ikke gav mening at indføre noget, som alligevel ikke var sikkert,« siger Per Kølle.

Derudover har interessen for DNSSEC været lille i mange år, men kom for alvor på banen i 2008 på grund af afsløringen af et stort hul i sikkerheden ved almindelige DNS-servere, kaldet Kaminsky-sårbarheden.

»Svenskerne har haft DNSSEC i fire år, men har ingen kunder til det. Der er simpelthen ingen efterspørgsel. Men det er jo som hønen og ægget, og at investere i noget, der ikke er efterspørgsel på, er ikke særlig kommercielt smart. Nu ser det ud som om, at mange har fået øjnene op for det på grund af Kaminsky-sagen,« siger Per Kølle.

Selve den tekniske del af at indføre DNSSEC på dk-domænet er ikke en stor operation hos DK-Hostmaster selv, men vil kræve lidt arbejde ude os domæneregistratorerne og andre internetspillere.

»Arbejdsbyrden vil primært ligge i andet niveau, ude hos registratorerne. Så både DK-Hostmaster og registratorerne skal lige bruge lidt tid på at gøre sig nogle erfaringer,« siger Per Kølle.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Larsen

DK-Hostmasters udsagn, jvf. ovenstående:

DK-Hostmaster og Domæneregistranterne er dem som skal teste DNSSEC.

Problemet er bare, at grundlaget for den udtalelse ligger i DK-Hostmasters verdensbilled af, at DKHM og domæneregistranten er dem som har et kundeforhold, og INGEN andre i den sammenhæng kan være vigtige eller ligge til grund for vurdering af vigtige informationer.

Faktisk er min påstand, at her har domæneregistranten INGENTING at sige, det her er KUN et problem mellem registratorer, evt zonekontakter, og DKHM.

.. jeg har i øvrigt ingen forståelse for at vi skal vente på en ny direktør før vi laver testbeds og ser på den i forvejen tekniske plan der er lavet for udrulning

  • 0
  • 0
Peter Makholm

Ja, nu skal det gå stærk.

Efter at DIFO/DK-Hostmaster har været helt tavse om DNSSEC siden informationsmødet i november har vi nu fået 7 dage til at kommentere på DIFO's forslag til behandlingen af DNSSEC i de generelle vilkår for .dk domæner.

Og netop denne del var åhhh så svær at sige noget om i novembers. Men DIFO mener at vi skal kunne komme med fornuftige kommentare på kun 7 dage?

I øvrigt lækkert blandet ind i en ændring de "glemte" at få med da de startede høringen om ændrede vilkår på grund af typosquatting-regler.

Det er IMHO ikke i orden!

Den åbne testperiode vi blev lovet, kan jeg heller ikke finde offentlige informationer om.

  • 0
  • 0
Peter Larsen

Per, gider du knytte en kommentar til hvordan din ovenstående sætning med "Jeg nævnte specifikt registratorerne og ikke registranterne." stemmer ovenens med følgende sniplet fra de nye generelle vilkår, for jeg ser det da stadig som om du mener at vidensudvekslingen sker imellem registanten og dk-hostmaster, og det er IMHO en af de større designfejl i jeres DNSSEC plan, og på trods af det også er påtalt flere gange på registrator møderne, og flere gange i forbindelsen med DNSSEC debatten, så er det noget i ignorer på fuld styrke:

"Ved redelegering af et domænenavn med tilknyttede DNSSEC-nøgler vil DNSSEC-service som hovedregel blive afbrudt, indtil registranten har angivet en ny nøglean- svarlig og nye nøgler, og DK Hostmaster har registreret den nye nøgleansvarlige og de nye nøgler."

samt

"Ved Nøgleansvarlig forstås den fysiske eller juridiske person, som registranten har bemyndi- get til at håndtere transaktioner, som indebærer ændringer i opsætning og indhold af krypte- ringsnøgler for DNSSEC."

Det jeg gerne vil have svar på:
1) Hvor mange af de 1 million domæner der findes i dag tror du der bliver DNSSEC signet, når registranten og ikke registrator/zonekontakten er den primære person til at håndtere sikkerheden?

2) Hvor meget rod tror du det kan give i jeres supportafdeling at i skal forklare registranter om DNSSEC (meget stor mænge folk) kontra zonekontakter (delvis begrænset mænge) og til sidst registratorer (MEGET begrænset mænge) folk?

3) Vil den øget mænge support ikke automatisk udløse højere priser?

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg sidder i det advisory-board DK-Hostmaster selv har udpeget for DNSSEC.

Hvis jeg skal være ærlig ved jeg ikke hvorfor det lige er mig der sidder der, men i det omfang jeg kan, prøver jeg at bidrage konstruktivt.

Jeg har fra starten gjort det klart, at dette ikke ville indskrænke min tilbøjelighed til at sige min mening når jeg fandt behov derfor, derfor denne kommentar.

Min klare opfattelse, efter møderne, er at den nøgleansvarlige er en ny, helt separat, rolle som domænets indehaver kan uddelegere til lige præcis hvem vedkommende har lyst til.

Dette var den eneste måde vi (I dette tilfælde primært Robert/Svenne/Phk) kunne se at alle de forskellige driftsformer der anvendes til DNS kunne tilgodeses, idet nøgleopdateringer ikke per definition er sammenfaldende med nogen af de existerende roller.

Hvis dette ikke er en hensigtsmæssig opbygning af ansvarsfordelingen, ville det være alle tiders tidspunkt at få det på bordet nu. Meget gerne med et alternativt forslag, samt forklaring på hvorfor det er bedre og hvem det er bedre for.

Hvis dette ikke er hvad DK-Hostmaster vil implementere, eller hvis DK-HM vikler dette simple princip ind i uendelige mængder af "red tape", er der noget der er gået fuldstændig galt i kommunikationen på vores møder og så skal jeg gerne rejse mig i min stemmes fulde højde på vores møde d. 12 maj, for at finde ud af hvad der er gået galt.

Ligeledes skal jeg gerne bringe ethvert andet relevant emne op: send mig en sammenhængende email.

Om processen som helhed må jeg indrømme at jeg er meget langt fra at være imponeret.

Jeg har på intet tidspunkt i forløbet følt mig fristet til at bruge ord som "omstillingsparat", "agil ledelse" hvorimod både Parkinssons Lov og Peter Princippet ofte påkalder sig min opmærksomhed.

Set med min "Veni, Vidi, Vinci" holdning, ligner det at en forholdsvist simpel tilføjelse er blevet blæst op til en Stor Og Farlig Forandring, noget man hos DK-Hostmaster tilsyneladende Skal Være Meget Varsom Med.

Jeg er helt enig i, at der ikke skal spilles hazard med .DK zonen, og mit klare indtryk er, at den tekniske del af sagen er i gode og kompetente hænder.

På det administrativt/politiske plan oplever jeg derimod en fremtidsangst, grænsende til handlingslammelse og en total panik overfor den blotte ide om at ifalde et ansvar.

Vi havde f.eks en foruroligende lang diskussion om det nu var "sikkert" at DK-HM oprettede en mailman liste, så de interesserede parter kunne kommunikere om DNSSEC.

Det blev til min forbavselse understreget, tydeligt og at en sådan liste ikke forpligtede DK-HM til at læse hvad folk måtte skrive på denne liste.

Ligeledes har adgangen til at teste imod den "sandkasse" der nødtvungent blev accepteret, været genstand for nærmest paranoide krav om begrænsning.

Som "advisory board" har vi ingen egentlig indflydelse, udover hvad vi efterlader uspist i slikskålen, men vi gør hvad vi kan for at skubbe i den rigtige retning.

Poul-Henning

  • 0
  • 0
Peter Makholm

Jeg er enig med Peter Larsen. Men den beskrevne model vil DNSSEC blive et særsyn i .dk. Dermed bliver Danmark i hvert fald ikke foregangsland når det kommer til de sjove og initiativrige anvendelser af DNSSEC.

Men givet den registry-model som DK-Hostmaster anvender, så ser rollefordelingen efter min mening fornuftig ud. Problemet er ikke hvordan DNSSEC bliver hacket ind i den nuværende model, det er registry-modellen der er utidssvarende.

Jeg bliver dog bekymret når jeg læser afsnittet om redelegering. Er det virkelig det bedste vi kan gøre?

  • 0
  • 0
Peter Makholm

DIFO har ganske diskret ændret høringsfristen til den 18. maj.

Forhåbentligt får jeg i løbet af idag svar fra DK-Hostmaster vedrørende oplysninger om den åbne testperiode (ifølge deres målsætning om hurtige svartider). Det kan jo ikke være svært at finde oplysninger om en åben testperiode der har været igang i en måned...

  • 0
  • 0
Anonym

Typisk bliver offentlige kontrakter indgået, og derefter 'glemt', dvs. uden opfølgning i kontraktsperioden.

Jeg er ikke voldsomt interesseret i denne sag, men generelt kunne man kigge lidt i de underliggende kontraktuelle forhold, herunder f.eks. de 21 minimumskrav, der er stillet, og som gælder i hele perioden:
http://www.itst.dk/tele-og-internetregulering/domener/udbud-af-administr...
Der står en del ting, som jeg ikke synes jeg kan finde på DIFO's hjemmeside, bla. (nyere) årsberetninger, sager om medlemsoptagelse - og meget mere.

Jeg bruger ikke IPV6, men DIFO har forpligtet sig til at indføre det inden for 12 måneder efter overtagelsen - hvordan går det med det?

(og sikkert meget mere).

  • 0
  • 0
Peter Makholm

Det kan godt være at det bare er mig der er dum og forfølger det her uden at forstå det, men nu har jeg fået svar på hvordan man deltager i den åbne test.

Man sender det eller de domænenavne man ønsker at deltage med til den ansvarlige medarbejder og så kan man få de relevante oplysninger.

Jeg vil derfor tillade mig at konkluderer at der ikke er noget offentligt brugbar dokumentation af hvordan og hvad DK-Hostmaster tester. Jeg tror derfor ikke at jeg umidelbart kan anbefale min arbejdsgiver at bruge tid på DNSSEC på .dk-domæner i den nærmeste fremtid.

Til Stig: Jeg tror at det er hævet over enhver reel tvivl at DK-Hostmaster overholder de tekniske minimumskrav fra udbudet, herunder IPv6.

  • 0
  • 0
Log ind eller Opret konto for at kommentere