De kryptografiske nøgler, der sikrer internettets centrale adresse-bog, bliver opdateret i oktober – for første gang nogensinde.
Det er kritisk, at ISP’er og netværksoperatører er klar til overgangen. For dem, der ikke er det, bliver effektivt smidt af internettet, når den nye krypto-nøgle træder i kraft.
»Alle navneservere, der har DNSSEC-validering slået til, afhænger af denne nøgle,« forklarer Erwin Lansing, der er sikkerhedschef og teknisk konsulent hos DK-hostmaster.
»Så hvis ikke de opdaterer, bliver de så at sige lukket ude af internettet,« tilføjer han.
Krypto-nøglerne er ikke blevet skiftet, siden de blev genereret i 2010. Siden da har de fungeret som udgangspunktet for DNS-sikkerhedssystemet DNSSEC, der forhindrer såkaldt DNS-spoofing.
DNSSEC står for Domain Name System Security Extensions. Systemet har til formål at autentificere kilden til DNS-data og betragtes generelt som en kritisk komponent i indsatsen for at sikre det fundamentalt usikre DNS-system. DK-Hostmaster fik i 2010 signeret dk-domænet med DNSSEC.
DNSSEC
Key Signing Key
DNSSEC fungerer ved at tilføje en kryptografisk signatur til hvert svar i DNS-processen, som hver for sig igen signeres af niveauet ovenover i hierarkiet.
Når en krypto-nøgle skal udskiftes, skal den nye nøgle signeres af den såkaldte Key Signing Key (KSK), der er ovenover i DNS-hierarkiet.
Det vil sige, at en ny KSK for Version2.dk, skal signeres af DK-Hostmaster, hvis KSK er signeret af ICANN.
»ICANN har det problem, at de er roden, og dermed er der ikke noget niveau over dem,« forklarer Erwin Lansing.
»Deres KSK er derfor hard coded ind i DNS-serverne. Så når de skal skifte nøgle, er det en helt anden situation.«
#KeyRoll
Hvis nøglen teoretisk set blev skiftet, uden nogen domæne-servere opdaterede, ville ingen DNS-valideringer kunne udføres, fordi samtlige nøgler ned igennem DNS-hierarkiet med ét bliver ugyldige – og en stor andel af internetbrugere ville få sat stolen for døren.
Derfor er ICANN godt i gang med at sikre, at processen bliver så smertefri som mulig.
Organisationens CEO, Göran Marby, har sendt besked til over 170 myndigheder for at bede dem om at prikke til netværksoperatører i de pågældende lande for at sikre, at de er klar til et nøgleskift.
Oveni beder ICANN også menige internetbrugere om at tage affære:
»Internet-brugere bør kontakte deres ISP eller netværksoperatør for at sikre, at de er klar til nøgle-skiftet,« skriver organisationen i en meddelelse.
Begivenheden har sågar fået sit eget hashtag – #KeyRoll – på Twitter.
»Netværksoperatører bør sikre, at de har opdateret software, har slået DNSSEC til og verificeret, at systemet kan opdatere nøglerne automatisk, eller have processer i plads til manuelt at opdatere til den nye nøgle klokken 1600 UTC d. 11. oktober 2017,« lyder budskabet fra ICANN.
Netværksoperatører kan afprøve, om deres system er klar til at opdatere automatisk på et test-platform, som ICANN har sat op til formålet.
Få proceduren på plads
Der er to grunde til, at ICANN vælger at sætte gang i det ellers besværlige nøgleskift, forklarer Erwin Lansing.
Det første argument er sikkerhed:
»Der er mange forskellige meninger om, hvor farligt det er sikkerhedsmæssigt. Spørgsmålet er, hvor sandsynligt det er, at nogen kan udregne nøglen på baggrund af det krypterede materiale. For jo mere materiale, desto nemmere bliver det at udregne nøglen,« fortæller Erwin Lansing.
Derfor er det best-practice at skifte nøglen med jævne mellemrum. DK Hostmaster selv skifter KSK hvert år.
»Det andet formål med at skifte nøglen er at sørge for, at proceduren er på plads, hvis man pludselig får brug for at skifte den hurtigt – f.eks. hvis nøglen bliver lækket,« fastslår Erwin Lansing.
Dobbelttjek
Den nye nøgle er annonceret i DNS-roden og kan allerede hentes nu. Den nye nøgle er signeret med den gamle nøgle, så man kan kontrollere dens ægthed. Samtidig bliver den nye nøgle længere - 2048 bit frem for de nuværende 1024 bit.
Mange DNS-softwarepakker kan selv automatisk installere den nye KSK, understreger Erwin Lansing. Ikke desto mindre er det værd at dobbelttjekke:
»Jeg vil opfordre alle, der driver en navneserver med DNSSEC-validering, til allerede nu at kontrollere, at den nye nøgle er sat op.«
»De sidste opgørelser, jeg har set, viser, at 65 procent af brugere i Danmark sidder bag navneservere, der bruger DNSSEC,« slutter sikkerhedschefen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
