Podpis kořenové zóny, ITAR a NSEC3

Zatímco se celý DNS svět připravuje na podepsání kořenové zóny, které proběhne už za necelých 14 dní, my se připravujeme hned na tři podstatné změny, které budou po tomto podepsání následovat a souvisejí s přechodem zóny CZ na variantu technologie DNSSEC označovanou jako NSEC3. Tyto změny jsou samozřejmě zajímavé pouze pro provozovatele rekurzivních DNS serverů, kteří provádějí validaci pomocí DNSSEC. Běžný uživatel tyto změny pravděpodobně ani nezaznamená.

První velkou změnou je zrušení podpory repositáře klíčů ITAR. Již nyní jsou naše záznamy z ITARu vloženy v kořenové zóně a v okamžiku, kdy bude kořenová zóna podepsaná, bude možné validovat zónu CZ právě pomocí klíčů kořenové zóny. Doporučujeme tedy co nejrychleji přejít na tento způsob validace změnou konfigurace rekurzivních DNS serverů. Klíče kořenové zóny budou k dispozici v den jejího podpisu, tedy 15. července.

S výše uvedeným souvisí také historicky první rollover (výměna klíčů) v zóně CZ. Nový klíč, který v rámci této operace zveřejníme, bude silnější a umožní nám přechod na NSEC3. Tento klíč již ale nebudeme vkládat do repositáře ITAR, abychom podpořili přechod na validaci přes kořenovou zónu. Podle harmonogramu, který jsme zveřejnili, provedeme tuto operaci 3. srpna. V tento den také zašleme do IANA žádost o vložení otisku nového klíče do kořenové zóny a žádost o vyřazení otisku klíčů z repositáře ITAR. Přestože bude tato žádost zpracovaná zhruba do 14 dnů ode dne podání, od 3. srpna již nebudeme ITAR podporovat a je tedy nutné mít v konfiguracích správně klíče kořenové zóny! Toto se netýká pouze DNS serverů využívající ITAR, ale i těch, které mají klíč pro zónu CZ nakonfigurován ručně.  Nový klíč již nebudeme zveřejňovat na našich stránkách a pokud někdo tuto konfiguraci používá, musí změnit klíč pro zónu CZ na klíč pro kořenovou zónu.  Stejným způsobem také odebereme klíče z posledního místa, kde je možné je nalézt, a to z ISC DLV.

Nový klíč bude vytvořen silnějším typem algoritmu RSASHA512 (opraveno 2. srpna 2010) než je stávající RSASHA1. Podstatné je, že tento nový algoritmus je podporovaný až v novějších verzích softwaru používaného pro rekurzivní DNS servery. Nejjednodušší způsob, jak tuto podporu otestovat, je vyzkoušet si validaci ENUM zóny 0.2.4.e164.arpa, která již tento algoritmus používá. DNS server Bind podporuje tento algoritmus od verze 9.6.2. DNS server Unbound od verze 1.4.0.

Posledním krokem celé akce je vlastní přechodu na NSEC3. V zóně ENUM proběhla tato změna podle plánu. V zóně CZ jsme bohužel termínově vázáni na propagaci nových klíčů v nadřazené zóně, což není v naší moci ovlivnit, ale zatím vždy byly požadované změny provedeny do 14 dnů. I z pohledu provozovatelů rekurzivních DNS serverů bude ale tato poslední změna neviditelná a tedy nebude nutné do konfigurace DNS serverů zasahovat.

Na závěr drobné shrnutí očekávaných událostí „horkého“ léta:

  • 15. 7. 2010 proběhne podpis kořenové zóny a publikace podpisových klíčů
  • 3. 8. 2010 provádíme v zóně CZ přidání nového RSASHA512 (opraveno 2. srpna 2010) klíče a stahujeme existující klíče ze všech zdrojů, kde jsme je publikovali (ITAR, DLV, webové stránky); zároveň posíláme do IANA žádost o zařazení otisku klíče v kořenové zóně
  • 24. 8. 2010 odebereme staré RSASHA1 klíče a provádíme podepsání zóny CZ pomocí technologie NSEC3.

Jaromír Talíř

Autor:

Komentáře (6)

  1. Yenya říká:

    Bylo by mozne nekde zverejnit pouzivane nastroje? Napriklad jsem zatim neprisel na to, jak (jinak nez pomoci perlu a Net::DNS::SEC::*) podepsat klice domeny jen pomoci KSK. A jak pak tento podpis prenaset na primarni nameserver, kde budou doplneny podpisy vseho pomoci ZSK.

    • Jaromír Talíř říká:

      Dobrý den,
      v CZ.NIC používáme ZKT. Je to nadstavba nad dnssec-signzone, která se stará o automatickou výměnu ZSK podle konfigurovatelných parametrů. U dnssec-signzone je možné v parametru ‚-x‘ říct, že se má DNSKEY RRset podepisovat jenom pomocí KSK. Pro podepsání samostatného DNSKEY RRsetu je ale asi opravdu nutné zkombinovat nějaké jiné nástroje.

  2. Daniel Cizinsky říká:

    Nejsem prilis nadseny z toho, ze tento blog je posledni aktualizaci informaci o probihajicich zmenach!

    Ackoliv jsem presne dodrzel navod, dnes prestala validace v BINDu fungovat. Zda se, ze nekde se stala chyba, ale k odebrani starych klicu stejne doslo… :(

  3. Daniel Cizinsky říká:

    Aha. Problem je v tom, ze i pri podepsane . zone ma overovani skrze „trusted keys“ v BINDu prednost pred overovanim hierarchicky (skrze „managed keys“ od .), takze kdyz se stary klic z „trusted keys“ neodebere, tak je vsechno podepsane spatne. To ale rozhodne neznamena, ze bych si myslel, ze ono „ticho po pesine“ je ze strany CZ.NIC vhodna komunikce…

  4. Marian Kadziolka říká:

    Daniel Cizinsky: „…To ale rozhodne neznamena, ze bych si myslel, ze ono „ticho po pesine“ je ze strany CZ.NIC vhodna komunikce…“

    – informace o zmenach byly/jsou na http://www.nic.cz viz. Novinky

    – opakovane byly uverejnovany zpravy na serverech typu lupa.cz, root.cz, abclinuxu.cz …

Zanechte komentář