LISA ’11: DNSSEC Implementation Overview

Dagens andre sesjon, DNSSEC Implementation Overview, kom rett etter en 3-retters lunsj uten kaffeservering. Når så foreleser Alan Clegg (har inntil nylig jobbet hos ISC) går direkte løs på nøkkelhandtering, krytografiske algoritmer, signering og ikke minst Chain of Trust var det heldigvis ikke bare jeg som blei litt glassaktig i blikket.

DNSSEC dreier seg om kryptografisk signering av DNS-data. Heile Internett avhenger av at DNS er oppegående og korrekt. Dersom man greier å lure falske data inn i DNS kan man styre brukere over til sin egen versjon av nettbank o.l. Fram til 2008 gikk spredningen av DNSSEC tregt, rett og slett fordi implementasjonen er vanskelig og stiller store krav til rutiner og vedlikehold. Dersom du roter til DNSSEC forsvinner organisasjonen din fra DNS – og dermed fra Internett – for opptil en måned!

I 2008 gjorde Dan Kaminsky verden oppmerksom på en 20 år gammel designfeil i selve DNS-protokollen (ikke bare en enkelt implementasjon) som gjorde det enkelt å putte inn gale data i rekursive navnetjenere. Det blei i løpet av kort tid implementert “gode nok” tilpasninger i Bind og andre navnetjenere, men den egentlige løsninga på problemet er DNSSEC. Etter dette skjøt spredninga fart og i dag er rotsona “.” signert sammen med bl,a, .com, .mil, .gov og fleire land-toppdomener f.eks. .se. Norid har så vidt jeg klarer å finne ut ingen nære planer om å signere .no, slik at vi i uit.no dessverre ikke har noen mulighet for å innføre DNSSEC på enkelt vis. Vi vil imidlertid gjøre lurt i å starte uttesting og sørge for at rutinene ligger klare til den dagen Norid får snudd seg.

Ellers kan vi bare håpe på at Verisign, som signerer rotsona (og dermed i praksis eier  Internett), ikke finner ut at de har lyst på totalt verdensherredømme…

Leave a Reply

Your email address will not be published. Required fields are marked *