DNS-systemets krypto-nøgler skiftes for første gang: Opdater eller bliv smidt af internettet

Netværksoperatører, der ikke opdaterer, bliver effektivt smidt af internettet.

De kryptografiske nøgler, der sikrer internettets centrale adresse-bog, bliver opdateret i oktober – for første gang nogensinde.

Det er kritisk, at ISP’er og netværksoperatører er klar til overgangen. For dem, der ikke er det, bliver effektivt smidt af internettet, når den nye krypto-nøgle træder i kraft.

»Alle navneservere, der har DNSSEC-validering slået til, afhænger af denne nøgle,« forklarer Erwin Lansing, der er sikkerhedschef og teknisk konsulent hos DK-hostmaster.

»Så hvis ikke de opdaterer, bliver de så at sige lukket ude af internettet,« tilføjer han.

Læs også: Danske hostingudbydere forsømmer DNS-sikkerhed: Under én procent af .dk-domæner sikret med DNSSEC

Krypto-nøglerne er ikke blevet skiftet, siden de blev genereret i 2010. Siden da har de fungeret som udgangspunktet for DNS-sikkerhedssystemet DNSSEC, der forhindrer såkaldt DNS-spoofing.

Key Signing Key

DNSSEC fungerer ved at tilføje en kryptografisk signatur til hvert svar i DNS-processen, som hver for sig igen signeres af niveauet ovenover i hierarkiet.

Når en krypto-nøgle skal udskiftes, skal den nye nøgle signeres af den såkaldte Key Signing Key (KSK), der er ovenover i DNS-hierarkiet.

Det vil sige, at en ny KSK for Version2.dk, skal signeres af DK-Hostmaster, hvis KSK er signeret af ICANN.

»ICANN har det problem, at de er roden, og dermed er der ikke noget niveau over dem,« forklarer Erwin Lansing.

»Deres KSK er derfor hard coded ind i DNS-serverne. Så når de skal skifte nøgle, er det en helt anden situation.«

#KeyRoll

Hvis nøglen teoretisk set blev skiftet, uden nogen domæne-servere opdaterede, ville ingen DNS-valideringer kunne udføres, fordi samtlige nøgler ned igennem DNS-hierarkiet med ét bliver ugyldige – og en stor andel af internetbrugere ville få sat stolen for døren.

Derfor er ICANN godt i gang med at sikre, at processen bliver så smertefri som mulig.

Organisationens CEO, Göran Marby, har sendt besked til over 170 myndigheder for at bede dem om at prikke til netværksoperatører i de pågældende lande for at sikre, at de er klar til et nøgleskift.

Læs også: Kramshøj om DNSSEC: Der er ingen undskyldning længere

Oveni beder ICANN også menige internetbrugere om at tage affære:

»Internet-brugere bør kontakte deres ISP eller netværksoperatør for at sikre, at de er klar til nøgle-skiftet,« skriver organisationen i en meddelelse.

Begivenheden har sågar fået sit eget hashtag – #KeyRoll – på Twitter.

»Netværksoperatører bør sikre, at de har opdateret software, har slået DNSSEC til og verificeret, at systemet kan opdatere nøglerne automatisk, eller have processer i plads til manuelt at opdatere til den nye nøgle klokken 1600 UTC d. 11. oktober 2017,« lyder budskabet fra ICANN.

Netværksoperatører kan afprøve, om deres system er klar til at opdatere automatisk på et test-platform, som ICANN har sat op til formålet.

Få proceduren på plads

Der er to grunde til, at ICANN vælger at sætte gang i det ellers besværlige nøgleskift, forklarer Erwin Lansing.

Det første argument er sikkerhed:

»Der er mange forskellige meninger om, hvor farligt det er sikkerhedsmæssigt. Spørgsmålet er, hvor sandsynligt det er, at nogen kan udregne nøglen på baggrund af det krypterede materiale. For jo mere materiale, desto nemmere bliver det at udregne nøglen,« fortæller Erwin Lansing.

Læs også: Internettets nye overlord ICANN har et blakket ry

Derfor er det best-practice at skifte nøglen med jævne mellemrum. DK Hostmaster selv skifter KSK hvert år.

»Det andet formål med at skifte nøglen er at sørge for, at proceduren er på plads, hvis man pludselig får brug for at skifte den hurtigt – f.eks. hvis nøglen bliver lækket,« fastslår Erwin Lansing.

Dobbelttjek

Den nye nøgle er annonceret i DNS-roden og kan allerede hentes nu. Den nye nøgle er signeret med den gamle nøgle, så man kan kontrollere dens ægthed. Samtidig bliver den nye nøgle længere - 2048 bit frem for de nuværende 1024 bit.

Mange DNS-softwarepakker kan selv automatisk installere den nye KSK, understreger Erwin Lansing. Ikke desto mindre er det værd at dobbelttjekke:

Læs også: Googles DNS-tjeneste hæver sikkerheden med DNSSEC

»Jeg vil opfordre alle, der driver en navneserver med DNSSEC-validering, til allerede nu at kontrollere, at den nye nøgle er sat op.«

»De sidste opgørelser, jeg har set, viser, at 65 procent af brugere i Danmark sidder bag navneservere, der bruger DNSSEC,« slutter sikkerhedschefen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Roed

Gode råd når udbyderen (one.com) meddeler at de ikke understøtter (udleverer) DNSSEC nøgler til deres .dk domæner?
Hostmaster har aktiveret DNSSEC for mine domæner, men det hjælper vel ikke meget når der ikke er tilknyttet en DNSSEC-nøgle?

  • 0
  • 0
Erwin Lansing

Hej Jan,

At DNSSEC er aktiveret i DK Hostmaster's selvbetjening, betyder at dit domæne vil være beskyttet af DNSSEC så snart vi modtager den nøgle der er brugt til at signere domænet. Den nøgle kan du få udleveret fra din navneserviceudbyder, eller din udbyder kan sende den direkte ind til os på dine vegne.

  • 1
  • 0
Povl Hansen

@Erwin

du svarer "Den nøgle kan du få udleveret fra din navneserviceudbyder"

til en der netop siger af navneserviceudbyder
"ikke udleverer nøgler til deres .dk domæner?"

Er du politikerer eller gik det bare lidt for hurtigt med de svar ?

  • 1
  • 3
Log ind eller Opret konto for at kommentere