Historie nasazení technologie DNSSEC v doméně CZ je již víc než desetiletá a v jejím průběhu došlo k několika důležitým změnám. Vezměme například rok 2010, který byl z pohledu nasazení DNSSEC přímo nabitý událostmi. V první řadě proběhlo v červenci podepsání kořenové zóny a hned vzápětí také vůbec první rotace KSK klíče se změnou algoritmu mezi doménami nejvyšší úrovně, kterou jsme v doméně CZ provedli v srpnu. Po uplynutí osmi let si tento „double“ letos zopakujeme, jen v opačném pořadí. Na říjen je naplánována odložená první rotace KSK klíče kořenového zóny (bez změny algoritmu). No a v červnu provedeme v CZ doméně již avizovanou rotaci KSK klíče, opět se změnou algoritmu. Tentokrát ale jako první správci domény nejvyšší úrovně použijeme algoritmus ECDSA založený na eliptických křivkách.
Výhody i nevýhody nového algoritmu byly již mnohokrát prodiskutovány. K těm již dříve zmiňovaným výhodám, jako je vyšší bezpečnost (větší síla klíče) a nižší náchylnost ke zneužití pro DDoS (menší DNS odpovědi), bych přidal i obecně lepší dostupnost DNS. Na základě výzkumů laboratoří APNIC týkající se problematiky doručování fragmentovaných datagramů po IPv6 totiž znamená zmenšení velikosti DNS odpovědi i potenciální zrychlení fungování DNS po IPv6 v některých sítích. Nevýhodou ale je, že stále existují staré, neaktualizované DNS servery, které se při neznámém algoritmu budou chovat, jako kdyby dotazovaná doména neměla DNSSEC zapnutý. Je poměrně pravděpodobné, že takovéto neaktualizované DNS servery budou vytrestané již zmiňovanou výměnou KSK kořenové zóny a DNS jim nepojede vůbec, takže určitě ještě jednou apelujeme na správce DNS serverů – aktualizujte a prověřte konfigurace!
Pro uživatele, kteří se zajímají jak o stav jejich DNS resolveru, spravovaný pravděpodobně jejich poskytovatelem internetu, existuje hned několik nástrojů. Pokud si například zobrazíte naší domovskou stránku, a uvidíte zelené kolečko u nápisu Zabezpečeno technologií DNSSEC, můžete být v klidu. Jiná barva znamená, že byste měli kontaktovat správce vašeho DNS resolveru s žádostí o lepší zabezpečení. Trochu podrobnější přehled podporovaných algoritmů nabízí test, který vytvořili holandští výzkumníci.
Situace v doméně CZ se nicméně za poslední rok vyvinula tak, že algoritmus ECDSA je vůbec nejpoužívanějším DNSSEC algoritmem. Čeští registrátoři Zoner, Ignum a ACTIVE24 vyhodnotili nový algoritmus tak, že jeho přínos je velký a podpora dostatečná a přešli na něj u všech domén, které hostují na své infrastruktuře. Obě varianty tohoto algoritmu, tedy ECDSAP256SHA256 i ECDSAP384SHA384 pokrývají již téměř polovinu všech zabezpečených domén. Bez ohledu na DNSSEC algoritmus použitý přímo pro doménu CZ již tedy algoritmus ECDSA při navštěvování českých domén pravděpodobně využíváte.
Za uplynulých osm let se také výrazně proměnil i způsob, jakým DNSSEC spravujeme. V roce 2013 jsme se rozhodli rozdělit správu ZSK a KSK klíčů do dvou týmů. Zatímco ZSK klíč, který se mění každé dva měsíce, mají ve správě systémoví administrátoři, KSK klíč je uložen offline v trezoru a dohlíží na něj členové bezpečnostního týmu CSIRT. Vždy dvakrát do roka vygeneruje ZSK tým tři nové klíče a připraví soubory obsahující odpovídající kombinace podle časového schématu na další půlrok. KSK tým následovně vyzvedne z trezoru KSK klíč a podepíše připravené soubory. Tyto soubory s podpisy jsou pak uloženy zpět do systému, kde skript podepisující zónu vždy podle aktuálního času vybere příslušnou kombinaci klíčů s podpisy a vloží ji do zónového souboru. V rámci této procedury jsme si již dříve vyzkoušeli standardní rotaci KSK, nikoliv však se změnou algoritmu.
Správně provedená změna algoritmu totiž vyžaduje speciální postup zahrnující podepsání zónového souboru dvěma klíči od stávajícího i nového algoritmu a to ještě před publikací nového klíče v DNS. Některé verze DNS resolveru Unbound jinak považují celou doménu za nevalidní. Verzí Unboundu, které se chovají takto striktně, ale celkem ubývá a tak si například správce domény SE troufl provést změnu algoritmu standardním (liberálním) způsobem. Jak je vidět z prezentace na právě skončené konferenci RIPE76, která se této změně věnovala, nezaznamenali žádný problém. My jsme se rozhodli být v tomto směru konzervativnější a provést změnu tak, jak doporučuje RFC6781. Museli jsme tedy vytvořit nový postup, který zahrnoval spolupráci jak ZSK tak KSK týmu. Mimo jiné musel například KSK tým aktualizovat své prostředí pro KSK ceremonii na nejnovější Ubuntu, které již obsahuje software s podporou ECDSA algoritmu. Celý postup jsme otestovali na speciálně vytvořeném testovacím prostředí a poté ho provedli na doméně 0.2.4.e164.arpa (ENUM doméně), kterou spravujeme stejným způsobem jako doménu CZ.
Jelikož se během testování a ani během změny algoritmu na doméně 0.2.4.e164.arpa neobjevily žádné problémy, plánujeme nyní provést tentýž postup na doméně CZ. Kroky budou následující:
- 4.6.2018 10h – Vkládáme nové podpisy využívající ECDSA algoritmus
- 5.6.2018 10h – Publikujeme nové ECDSA klíče
- 5.6.2018 18h – Generujeme žádost o změnu DS záznamu v kořenové zóně (doba zpracování je max. do sedm dnů)
- *7.6.2018 10h – Odebíráme staré RSA klíče (může se změnit podle rychlosti změny DS záznamu v kořenové zóně)
- *8.6.2018 10h – Odebíráme staré podpisy využívající RSA algoritmus (může se změnit podle rychlosti změny DS záznamu v kořenové zóně)
Vzhledem k tomu, že čas podepsání zóny oběma klíči je podle našich testů víc než dvojnásobný oproti stávajícímu, rozhodli jsme se, že po dobu rotace budeme generovat zónový soubor jen jednou za hodinu. O dalším průběhu vás budeme informovat.