Jak zjednodušit DNSSEC?

Minulý týden jsem měl docela pěknou, plodnou debatu s Ondřejem Filipem, Danem Kaminskym a Paulem Wouterem o tom, jak usnadnit použití DNSSECu pro běžné uživatele. Dan je v tom poněkud radikální a vymýšlí systém, kdy by stačilo „nasadit novou verzi“ a všechny spravované domény by byly podepsané, tj. koncový uživatel by nemusel dělat nic. Osobně si myslím, že je to zatím příliš odvážné, a že je zatím potřeba postupovat po menších kouscích. Celé to totiž začíná být složitější ve chvíli, kdy každý doménový registr má vlastní verzi registračního systému a hierarchii dat uvnitř registru.

Nicméně s Paulem jsme pak rozebírali modely toho, jak to zjednodušit a zároveň respektovat různé registrační systémy. Je jasné, že první krok, který je potřeba udělat, bude vždycky muset být ruční – jedná se o vytvoření důvěry mezi doménovým registrem a prvotním DNSSEC klíčem. V případě naší národní domény bude zachovaný proces, kdy držitel doménového jména kontaktuje existujícím komunikačním kanálem svého registrátora a ten pošle zabezpečeným kanálem přes EPP protokol přidání (nebo změnu) DNSSEC klíče do centrálního registru.

Další krok už lze automatizovat. Pokud použijeme specifikaci RFC5011, která říká, jakým způsobem lze měnit DNSSEC kořeny důvěry, tak existuje možnost, že by DNS server podepsané domény mohl poslat speciální UPDATE zprávu (podepsanou stávajícím DNSSEC klíčem) o tom, že dochází ke změně DNSSEC klíče. Specializovaný DNS server by tuto zprávu zaznamenal, ověřil změnu a vygeneroval DS záznam pro nový klíč. Celý tento proces by mohl proběhnout bez lidského zásahu.

Na konci jsme se s Paulem dohodli, že tento koncept rozpracujeme ve formě Internetového Draftu a pokusíme se jej standardizovat na půdě IETF.

Docela by mě zajímalo, co si o tomto nápadu myslíte? Své připomínky můžete psát do diskuze níže.

Ondřej Surý

Autor:

Komentáře (2)

  1. Robert Vlach říká:

    Tohle bude možná trochu off-topic, ale na druhou stranu jde o pohled běžného uživatele:

    Od zavedení DNSSEC mám určité problémy s dostupností domény ze sítě GTS Novera, která jej podporuje. Nejdříve jsme zjistili, že nastavení klíčů u mého registrátora domén Forpsi bylo provedeno špatně, takže DNSSEC byl nefunkční, ačkoli výpis domén CZ.NICu uváděl, že doména JE správně zabezpečena pomocí DNSSEC (to je první problém).

    Poté co se toto vyřešilo, problémy pokračují a doména je někdy celé hodiny ze sítě GTS Novera nedostupná, zatímco jinak normálně jede. Celý problém je podrobněji popsán zde:
    http://webtrh.cz/23598-problemy-zavedenim-dnssec

    Z hlediska uživatele se mi to tedy zatím jeví tak, že DNSSEC nebo přinejmenším jeho implementace u GTS Novera trpí dětskými nemocemi. Myšlenka výborná, ale implementace zatím pokulhává.

    • Ondřej Surý říká:

      Dobrý den,

      z hlediska debugování by to chtělo výpisy příkazu dig na všechny používané resolvery ve chvíli, kdy to nefunguje.

      dig +multi +rec +dnssec http://www.navolnenoze.cz @

      Pokud se vrátí chyba SERVFAIL, tak pak:

      dig +cd +multi +rec +dnssec http://www.navolnenoze.cz @

      S tím už se dá pak dále pracovat. A přijít na to, kde je vlastně zakopaný pes.

      Jinak situace s DNSSECem není o mnoho jiná než situace se samotným DNS. Pokud vám váš správce DNS serverů špatně nastaví DNS, tak vám doménové jméno také nebude fungovat. Např. při převodu domény z jednoho serveru na druhý se můžete dostat do úplně stejné situace.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.