Učiňme DNS opět velkým!

Snad mi bývalý prezident USA Ronald Reagan odpustí, když si půjčím a trochu předělám slogan z jeho prezidentské kampaně. Ostatně tuším, že to tak dnes dělá poměrně mnoho lidí.

Není to tak dávno, co spravovat jednoduchou statickou doménu druhého řádu nebylo nijak náročné. Tehdy jste si na DNS serverech připravili zónový soubor a dopsali jste do něj jednotlivé záznamy. Pak jste pouze před svého registrátora poslali do nadřazené zóny informaci, na kterých DNS serverech že se ten zónový soubor skrývá. A pak už nebylo nutné dělat vůbec nic, tedy alespoň dokud nenastala nějaká změna. To bylo ještě před startem technologie DNSSEC. Tato nová technologie přinesla do ne příliš dobře zabezpečeného protokolu silné bezpečnostní mechanismy. Ale jak už to bývá, bylo to „něco za něco“. Bohužel u DNSSECu už není možné nechat vše jen tak běžet, je nutné občas přepodepsat DNS záznamy, občas změnit podepisovací klíče zóny (ZSK) a občas dokonce i klíče pro podpis klíčů (KSK). Bohužel ta poslední operace běžně vyžaduje ještě komunikaci s nadřazenou entitou (správcem nadřazené zóny, v našem příkladu správce domény nejvyšší úrovně, například CZ.NIC). Nové klíče je nutné předat bezpečnou cestou a to mimo protokol DNS. Každý správce zóny je tedy nucen čas od času něco udělat a to je pochopitelně zdrojem častých problémů. Asi největší komplikací bývá, když komunikace s registrem probíhá přes majitele domény, jenž ještě navíc není zrovna technicky zdatný. V takovém případě je to spíše problém neřešitelný.

Proto hledala DNS komunita cesty, jak tento problém vyřešit. Řešení je popsáno v dokumentech RFC 7344 a RFC 8078, které zavádějí nový mechanismus, jak přenášet informaci o použitých klíčích mezi správcem zóny a nadřazenou entitou bez nutnosti používat jakéhokoliv prostředníka. Velmi laicky řečeno, správce zóny vypublikuje speciální záznamy (CDS a CDNSKEY), které signalizují, jakými klíči je/bude zóna podepsána. Správce nadřazené domény si tyto záznamy stáhne a zajistí, že celý DNS strom bude dále fungovat včetně podepisování pomocí DNSSEC. Použitím tohoto mechanismu se celý problém výrazně zjednodušuje, především v případě, kdy se o doménu stará někdo úplně jiný než příslušný registrátor. Tento mechanismus v doméně .cz startuje právě dnes, více technických informací se brzy dozvíte na tomto blogu nebo ze záznamu vystoupení Jaromíra Talíře na konferenci IT 17. Nicméně pokud již ve své zóně máte CDNSKEY, měla by se Vám bezpečná delegace DNSSEC brzy sama zprovoznit.

Ani s tímto by ale nebylo DNS stejné jako dříve. Stejně by bylo nutné alespoň částečně starat o onu rotaci klíčů, což opravdu není zrovna jednoduchá záležitost a je velice snadné v tom udělat chybu, jak se již mnozí přesvědčili.

A proto jsme přišli i s další novinkou a tou je implementace automatické správy klíčů do našeho autoritativního DNS démona – Knot DNS, konkrétně do verze 2.5.0. Opět se více technických informací dozvíte v některém z dalších článků. Díky této novince už jen označíte u zóny, že se má podepisovat a rotovat klíče a o nic jiného se nestaráte. Složitost správy DNS se tedy vrátila na onu nízkou úroveň, již jsem popisoval na začátku tohoto textu. A tedy z tohoto pohledu se DNS stává opět velkým jako dříve!

Autor:

Komentáře (2)

  1. bflmpswhž říká:

    Nevím, mě se to nějak nezdá. Přijde mi to strašně nezabezpečené, jen tak si klíče nasosat z DNS. Raději bych klíč (nebo jeho otisk) vytiskl na papír a poslal poštou s úředně ověřeným podpisem nebo něco takového…

    • Vláďa říká:

      Tady se nejde do detailů „zabezpečení“ toho procesu, ale je to samozřejmě kompromis…

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.