You are here

Замена DNSSEC кључева за root зону

09. 10. 2018.

Iiternet bezbednostICANN (The Internet Corporation for Assigned Names and Numbers) ће 11. октобра у 16.00 UTC (18.00 по локалном времену у Србији) по први пут урадити замену основног пара кључева који се користе у DNSSEC протоколу за потписивање root DNS зоне.

Укратко о DNSSEC-у

DNSSEC је безбедносно проширење DNS-а које омогућава заштиту од злонамерног преусмеравања корисника. Основна намена DNSSEC-а је да обезбеди да је одговор дошао од ауторитативног сервера за ту зону и да је непромењен послат кориснику.

Ово се постиже употребом криптографских кључева којима се потписује сваки DNS одговор. Да би аутентичност извора могла бити потврђена мора постојати ланац поверљивости који се у случају DNS-а завршава на DNS root-у. Пошто DNS root нема хијерархијски вишу инстанцу, потребно је да важећи јавни кључеви буду присутни на DNS серверима који обављају DNSSEC валидацију.

Најављена замена кључева за root зону заправо значи да престаје да важи стари кључ који ће бити валидан до 11. октобра у 16.00 UTC и сви DNS сервери на којима је активирана DNSSEC валидација морају да имају и нови KSK-2017 кључ.

Можемо ли да очекујемо проблеме у функционисању Интернета?

Нема потребе за бригу јер се најављена замена кључева односи само на кориснике Интернета који користе DNS сервере код којих је укључена валидација DNSSEC потписаних одговора на DNS упите. То је око 12,6% корисника Интернета у свету, а велика већина њих већ користи сервере који су припремљени за замену KSK кључа.

Ако ипак 11. октобра у 18.00 сати будете имали проблем са приступом неким интернет странама, може бити да је проблем у DNS сервису који користите. Решење за кориснике Интернета који буду имали овакав проблем је да промене конфигурацију DNS сервера на својим рачунарима, телефонима, рутерима и привремено одаберу неки од јавно доступних DNS сервиса (public DNS server).

Уколико ваша компанија или ви имате DNS сервере, прво проверите да ли су конфигурисани да подржавају DNSSEC и валидирају DNSSEC потписане одговоре. Ако је одговор на ово питање НЕ, онда остатак текста можете прочитати само информативно, али и почети да размишљате о активирању валидације DNSSEC-а.

Ако спадате у групу DNS оператерa који су одлучили да користе ово безбедносно проширење, потребно је да проверите да ли су ваши DNS сервери у потпуности спремни за 11. октобар. У противном, може се десити да DNSSEC потписане зоне не буду разрешене и да корисници вашег DNS сервиса неће бити у могућности да након 11. октобра у 18.00 часова приступе веб странама, електронској пошти и осталим сервисима на доменима који су DNSSEC потписани.

Како извршити проверу

ICANN је извршио детаљну припрему за процес замене кључева, иако ће се то у догађати изван директног учешћа јавности у том процесу. Крајњи корисници Интернета не би требало да осете ову промену, али постоји веома мала могућност да неки ипак користе DNS услуге оператера који нису обавили потребне измене.

Из тог разлога даћемо једноставне инструкције како проверити да ли су ваши DNS сервери спремни за 11. октобар и да ли је нови KSK-2017 конфигурисан на њима. Comcast је поставио сервис који је јавно доступан и који користи посебан домен „dnssec-failed.org“ чија је намена да се провери спремности DNS сервера за предстојећу замену кључева у root зони.

Унесите следећу наредбу:

dig @ADRESA_VAŠEG_SERVERA dnssec-failed.org a +dnssec

и замените текст ADRESA_VAŠEG_SERVERА адресом DNS сервера који користите. Ако у заглављу одговора добијете:

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL…

онда ваш DNS сервер има активирану DNSSEC валидацију.

Шта можемо очекивати 11. октобра?

Не треба очекивати да ће се десити нешто спектакуларно. Вероватно понеки DNS оператор неће освежити кључеве на серверима на којима је активирана DNSSEC валидација, што може погодити кориснике њихових услуга. Чак и ако се тако нешто деси, то ће бити само привремено док њихови DNS администратори не преузму нови KSK кључ, а њихови корисници за то време могу користити јавне DNS сервере који су благовремено припремљени за замену кључа у root зони.

Када је реч о Србији, код нас ионако нема много DNS оператера на чијим серверима је укључена валидација DNSSEC записа, а они код којих је она активна самим тим показују бригу о својим корисницима и већина њих је на време припремила своје DNS сервере за прву замену DNSSEC KSK кључа у root зони.