Normální je mít DNSSEC

Letošní 5. prosinec se zapsal do historie bezpečnosti českého Internetu překročením významné mety. Od tohoto data totiž v registru .cz domén evidujeme více těch se zabezpečením DNSSEC, než těch co toto rozšíření protokolu DNS postrádají. U více než 51 % (653 297) .cz domén můžeme ověřovat důvěryhodnost údajů poskytovaných systémem DNS a spoléhat na to, že tyto údaje nebyly cestou k uživateli podvrženy.

Jak je vidět z následujícího grafu, podpora technologie DNSSEC pro .cz domény kontinuálně rostla od jejího zavedení do registru v roce 2008. Po devíti letech můžeme tedy konečně prohlásit, že většina .cz domén je zabezpečena a že je tedy „normální“ DNSSEC na své doméně mít, než nemít.

dnssec_cz_domain_support_history

O dosažení tohoto milníku se zasloužili všichni registrátoři, kteří podporu DNSSEC od roku 2008 postupně zaváděli. K 5. 12. 2016 mělo alespoň jednu zabezpečenou .cz doménu pomocí DNSSEC 38 registrátorů, 15 z nich pak mělo takových domén více než 1 000. Celkem 9 , většinou velkých, registrátorů drží národní standard a má podepsáno více jak 50 % domén svých zákazníků. Konkrétní počty zabezpečených domén ukazuje následující graf, kde je 15 největších přispěvatelů k pokoření 50% hranice. Děkujeme všem, kteří na tom pracovali!

dnssec_cz_domain_support_registrars

Je na místě zmínit, že .cz doména výborně obstojí ve srovnání s dalšími doménovými koncovkami, pohybuje se na předních příčkách. Více bezpečných domén v absolutním počtu nalezneme pouze v Holandsku (.nl), Brazílii (.br) a Švédsku (.se). Doména .cz v tomto žebříčku předčí i mnohem rozšířenější .com doménu. Většinu podepsaných domén najdeme u domény .no a pak právě u domény .cz, na třetím místě za námi je pak švédská doména .se, která se polovině zabezpečených domén blíží. Konkrétní srovnání je v následující tabulce.

dnssec_cz_comparison

Dosažením mety 50 % podepsaných domén pomocí DNSSEC však nic nekončí. Předpokládáme, že registrátoři, kteří zavedli podporu DNSSEC v posledních týdnech, ještě celková čísla vylepší. Spolu s registrátory a poskytovateli připojení k Internetu navíc pracujeme na zavedení nových algoritmů šifrování (podpoře ECDSA), které se v DNSSEC využívají. Ale o tomto tématu napíšu samostatný článek. Nyní si ještě dovolím apel směrem ke správcům rekurzivních DNS serverů, tedy většinou poskytovatelům připojení: „zvyšte podporu technologie DNSSEC na svých serverech, většina .cz domén je touto technologií zabezpečena, ale zhruba 2/3 resolverů s ní ještě neumí pracovat!“

Autor:

Komentáře (4)

  1. Yenya říká:

    [varování: následuje skeptický příspěvek]

    Validující resolvery jsou problematické. Jeden příklad za všechny: tak rok zpátky udělal Microsoft chybu u podpisu nějaké domény podstatné pro běh toho jejich Office 365. Uživatelé využívající validující resolver najednou nemohli fungovat. Co jsem pozoroval ve svém okolí, tak začali houfně měnit konfiguraci na Google Public DNS, který fungoval. Naštěstí pak měl problém i Google, tak to zase většina změnila zpět :-). Ale hlavní problém DNSSECu – že je to všechno nebo nic – zůstává. Koncová aplikace nemá jak zaprezentovat uživateli, že nemá z DNS informaci ne proto, že by ji DNS server neposkytnul, ale že je špatně podepsaná, i když je třeba stejná jako předevčírem a celý rok předtím.

    A tohle Google DNS zřejmě nějak zvládá (nebo nevaliduje vůbec), zatímco striktně validující nameservery nikoliv. A vykládejte lidem, co je „technicky správné“ a že „chyba je u Microsoftu“, když kolegovi u sousedního stolu to funguje, a oni potřebují pracovat.

    No a já nemám řadu svých domén podepsaných z jednoduchého důvodu, že to nepodporuje registrátor. Značná část registrátorů podporuje DNSSEC jen pro domény, kde zároveň provozují i autoritativní nameservery.

    • Ondřej Caletka říká:

      Tenhle problém se právě snadno vyřeší tak, že majorita DNS resolverů bude validující. Například všichni tři čeští mobilní operátoři validaci provozují (a je to zásluhou právě CZ.NIC), takže když si někdo přijde stěžovat, že mu něco nefunguje, stačí mu předvést na mobilních datech, že tam to taky nefunguje, takže chyba není u nás – tedy běžte si stěžovat tomu, kdo rozhodl, že své pracovní nástroje svěříte „Cloudu“.

      Trochu smutný je v tomhle přístup Google, který sice DNSSEC validuje, ale pokud validace přestane fungovat, často v tichosti pro danou doménu validaci vypne, protože nejspíš předpokládá, že nejde o útok, ale chybu na straně držitele domény. Přitom bohužel držitele ani nijak nekontaktuje, takže ten často netuší, že nějaký takový problém má.

  2. Petr Styx říká:

    Nemohu tak uplně souhlasit. Na všech sítích o které se starám, tak DNSSEC validace beží už více než 2 roky a za tu dobu jsem nezaznamenal problem, ktery by zakaznici s používáním měli. Popravdě, těch problému, pokud si vubec teď na něco vzpomenu, co by vyvolal DNSSEC bylo minimum. Většina problému je vždy s konektivitou a pak fungováním služeb. Určitou nedůvěru chápu i tu konzervativnost, ale všeho z mírou. Zas tak složité to není a přeci jen to přináší zlepšení kultury. S píše bych více ocenil, kdyby se validoval DNSSEC blíže k zákazníkovy a ne na hlavnich DNS, pač co je to platné když Vám někdo hackne router a podvrhne DNS :)

    Jiný příběh je IPv6, ale to je na delší povídání a nechci být sprostý. Těch keců kolem fungování a kvality jsme slyšeli spoustu, ale kecy, že to je v pohodě jsou o ničem. V reálu pokud nejste fanatický vyznavač IPv6 (kterých je taky dost), musím říct, že je to nedotaženo a za běhu to sladit bude ještě pěkně na ……. Jiná je, že už není zbytí.

    Hodně by pomohlo odebírání nevyužitých IPv4 rozsahů, ale to je taky jiný příběh. Kšeftování s IP adresami ani nekomentuji. Když je můžou prodávat, tak je asi sami nepotřebovali, tak by je měli rovnou odebírat a upozorňuji, že toto dělají právě ti velcí, kteří si tak sami mrší situaci a zrychlují nutnost nástupu IPv6. No comment, že právě ti velcí jsou s nasazením na tom nejhůře.

  3. Yenya říká:

    @Petr_Styx: ale jistě, já jsem taky kromě tohoto víceméně žádný jiný problém nezaznamenal. Možná vaši uživatelé nepoužívají O365, to byste si toho problému všiml taky – TTL tam bylo tuším na jeden den, čili po tu dobu to bez vylití cache (i na všech forwarderech) nebo bez vypnutí validace nešlo. Každopádně tento problém když nastal, tak byl principiální: nevalidující nameservery věděly správnou odpověď („správnou“ = „tak jak to příslušná doména/služba zamýšlela“), Google DNS věděl správnou odpověď, a validující nameservery nikoliv a nebyla pro uživatele možnost jak to obejít.

    To, že na nějaký problém nenarazíte, ještě neznamená, že neexistuje :-)

Zanechte komentář