Zamena DNSSEC ključeva za root zonu

0

ICANN (The Internet Corporation for Assigned Names and Numbers) će 11. oktobra u 16:00 UTC prvi put uraditi zamenu osnovnog para ključeva koji se koriste u DNSSEC protokolu za potpisivanje root DNS zone.

Ukratko o DNSSEC-u

DNSSEC je bezbednosno proširenje DNS-a koje omogućava zaštitu od zlonamernog preusmeravanja korisnika. Osnovna namena DNSSEC-a je da obezbedi da je odgovor došao od autoritativnog servera za tu zonu i da je nepromenjen poslat korisniku.

Ovo se postiže upotrebom kriptografskih ključeva kojima se potpisuje svaki DNS odgovor. Da bi autentičnost izvora mogla biti potvrđena mora postojati lanac poverljivosti koji se u slučaju DNS-a završava na DNS root-u. Pošto DNS root nema hijerarhijski višu instancu, potrebno je da važeći javni ključevi budu prisutni na DNS serverima koji obavljaju DNSSEC validaciju.

Najavljena zamena ključeva za root zonu zapravo znači da prestaje da važi stari ključ koji će biti validan do 11. oktobra u 16 UTC (18h po lokalnom vremenu u Srbiji) i svi DNS serveri na kojima je aktivirana DNSSEC validacija moraju da imaju i novi KSK-2017 ključ.

Možemo li da očekujemo probleme u funkcionisanju Interneta?

Nema potrebe za brigu jer se najavljena zamena ključeva odnosi samo na korisnike Interneta koji koriste DNS servere kod kojih je uključena validacija DNSSEC potpisanih odgovora na DNS upite. To je oko 12,6% korisnika Interneta u svetu, a velika većina njih već koristi servere koji su pripremljeni za zamenu KSK ključa.

Ako ipak 11. oktobra u 18 sati budete imali problem sa pristupom nekim Internet stranama, može biti da je problem u DNS servisu koji koristite. Rešenje za korisnike Interneta koji budu imali ovakav problem je da promene konfiguraciju DNS servera na svojim računarima, telefonima, ruterima i privremeno odaberu neki od javno dostupnih DNS servisa (public DNS server).

Ukoliko vaša kompanija ili vi imate DNS servere, prvo proverite da li su konfigurisani da podržavaju DNSSEC i validiraju DNSSEC potpisane odgovore. Ako je odgovor na ovo pitanje NE, onda ostatak teksta možete pročitati samo informativno, ali i da počnete da razmišljate o aktiviranju validacije DNSSEC-a.

Ako spadate u grupu DNS operatera koji su odlučili da koriste ovo bezbednosno proširenje, potrebno je da proverite da li su vaši DNS serveri u potpunosti spremni za 11. oktobar. U protivnom, može se desiti da DNSSEC potpisane zone ne budu razrešene i da korisnici vašeg DNS servisa neće biti u mogućnosti da nakon 11. oktobra u 18h pristupe veb stranama, elektronskoj pošti i ostalim servisima na domenima koji su DNSSEC potpisani.

Kako izvršiti proveru

ICANN je izvršio detaljnu pripremu za proces zamene ključeva, iako će se to u događati izvan direktnog učešća javnosti u tom procesu. Krajnji korisnici Interneta ne bi trebalo da osete ovu promenu, ali ipak postoji veoma mala mogućnost da neki ipak koriste DNS usluge operatera koji nisu obavili potrebne izmene.

Iz tog razloga daćemo jednostavne instrukcije kako proveriti da li su vaši DNS serveri spremni za 11. oktobar i da li je novi KSK-2017 konfigurisan na njima. Comcast je postavio servis koji je javno dostupan i koji koristi poseban domen „dnssec-failed.org“ čija je namena da se proveri spremnosti DNS servera za predstojeću zamenu ključeva u root zoni.

Unesite sledeću naredbu:

dig @ADRESA_VAŠEG_SERVERA dnssec-failed.org a +dnssec

i zamenite tekst ADRESA_VAŠEG_SERVERA adresom DNS servera koji koristite. Ako u zaglavlju odgovora dobijete:

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL…

Onda vaš DNS server ima aktiviranu DNSSEC validaciju.

Šta možemo očekivati 11. oktobra?

Ne treba očekivati da će se desiti nešto spektakularno. Verovatno poneki DNS operator neće osvežiti ključeve na serverima na kojima je aktivirana DNSSEC validacija, što može pogoditi korisnike njihovih usluga. Čak i ako se tako nešto desi, to će biti samo privremeno dok njihovi DNS administratori ne preuzmu novi KSK ključ, a njihovim korisnicima za to vreme mogu koristiti javne DNS servere koji su blagovremeno pripremljeni za zamenu ključa u root zoni.

Kada je reč o Srbiji, kod nas i onako nema mnogo DNS operatera na čijim serverima je uključena validacija DNSSEC zapisa, a oni kod kojih je ona aktivna samim tim pokazuju brigu o svojim korisnicima i većina njih je na vreme pripremila svoje DNS servere za prvu zamenu DNSSEC KSK ključa u root zoni.

Žarko Kecić
RNIDS

Share.