Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Jak je výstižně popsáno v blogpostu Ondřeje Filipa, naším cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén. S využitím nového způsobu správy DNSSEC klíčů stačí, aby správce DNS při použití správného nástroje pouze zapnul DNSSEC, nastavil jeho parametry a o nic víc se nemusí starat. Při startu projektu jsme rozdělili domény do tří skupin – na domény bez DNSSEC, na domény, které jsme novým způsobem převedli do automatizované správy, a na domény, které již DNSSEC nastaven měly. Na konferenci jsme oznámili spuštění podpory automatizované správy DNSSEC klíčů pro první dvě skupiny domén s tím, že třetí skupinu zapojíme do projektu později. Dnes tedy plníme tento slib a spouštíme druhou fázi se zapojením také zmíněné třetí skupiny domén.
Nový způsob správy DNSSEC klíčů spočívá v aktivním skenování doménového prostoru a vyhledávání CDNSKEY záznamů u domén. Podle standardů RFC 7344 a RFC 8078 je tento záznam signálem, že si držitel domény přeje provést změnu v nastavení DNSSEC. Pokud takový záznam najdeme a jedná se o již zabezpečenou doménu, je autenticita tohoto záznamu ověřena přímo technologií DNSSEC a my provedeme náhradu existujícího klíče za nový. Pokud ještě doména zabezpečená není, informujeme příslušný kontakt, že registrujeme zájem o nastavení DNSSEC a provádíme opakované skenování tohoto záznamu na všech autoritativních DNS serverech TCP protokolem po dobu sedmi dní. Pokud doména úspěšně projde tímto cyklem, zapneme jí DNSSEC vložením požadovaného klíče do registru. Jsme přesvědčeni, že kombinace těchto tří bezpečnostních prvků (informování příslušného kontaktu, skenování po TCP protokolu a nutnost stejného výsledku po dobu sedmi dní) dostatečně potvrzuje autenticitu záznamu i pro nezabezpečené domény.
Hned při startu první fáze jsme do nového způsobu správy převedli 160 domén. Od té doby se nám v systému objevuje zhruba pět nových domén týdně. Celkem bylo před spuštěním druhé fáze zapojeno do automatizované správy 211 domén. V průběhu tohoto období jsme u těchto domén provedli 35 rotací DNSSEC klíčů. Je nám jasné, že ve většině případů se jednalo o experimenty uživatelů, kteří se o tuto technologii zajímají.
Spuštěním druhé fáze jsme rozšířili skenování na všechny delegované domény, tedy včetně těch, které již mají DNSSEC nastaven. V tomto rozšířeném hledání jsme při prvním běhu nalezli CDNSKEY záznam u dalších 346 domén a i u těchto domén jsme provedli odpovídající změnu keysetu. Skenování kompletního doménového prostoru nyní trvá zhruba tři hodiny.
Nedá se asi předpokládat, že se během krátké doby objeví nějaké masivní nasazení tohoto nového způsobu správy DNSSEC klíčů, ale i tak budeme pokračovat ve vysvětlování jeho výhod. Věříme, že se v brzké době objeví také více nástrojů, které budou tuto technologii podporovat. Zatím vede nejjednodušší cesta přes instalaci našeho DNS serveru Knot DNS. Pro držitele domén hostovaných u společnosti Cloudflare pak stačí zapnout DNSSEC v jejich administračním rozhraní.
Vzrůstá také zájem o nasazení této technologie u ostatních doménových registrů. Jelikož jsme první registr, který se na toto pole pustil, odpovídáme stále častěji na dotazy týkající se zvolených postupů a použitých nástrojů. Pokud nebudeme jediný takto fungující registr, začne se, doufejme, podpora nového způsobu správy DNSSEC klíčů šířit mnohem rychleji.
Supr, skvela prace.
Je fajn mít možnost záznamy otestovat. Váš DNSSEC validátor zobrazuje upozornění „ECDSA algoritmy nejsou v tuto chvíli podporovány, chyby vztahující se na alg 13 a 14 jsou způsobeny na straně testovacího serveru“ – a skutečně test jména, které je podepsáno těmihle algoritmy, selže.
Co tomu taky věnovat nějaký čas a validátor opravit? Verisignu to funguje …
Máte asi na mysli naší instanci produktu DNSCheck na https://dnscheck.labs.nic.cz. Tento produkt vyvíjel švédský registr a už ho dále nepodporuje. Byl nahrazen nástrojem Zonemaster jehož testovací instanci je možné vyzkoušet na https://zonemaster.labs.nic.cz/. Jakmile bude hotový překlad, opustíme původní produkt definitivně.