DNSSEC-nøkkelrotering

Publisert: 11.10.2018

Det er planlagt DNSSEC-nøkkelroteringen den 11. oktober 2018 kl. 18:00 norsk tid

DNS Security Extension (DNSSEC) er et sett med protokoller som utvider DNS ved å tilby funksjonalitet for å digitalt signere informasjon. Dette gjør det mulig å verifisere kilden til DNS-forespørsler og på den måten tilby integritetsbeskyttelse for forespørsler og svar. DNS er et hierarkisk system, hvor det høyeste nivået er kalt for "root zone", og det er denne delen som siden 15. juli 2010 vært signert med med en "Key Signing Key" (KSK), også kjent som "Trust Anchor Key". Den 11. oktober vil KSK bli byttet ut med en ny nøkkel.

Denne endringen er planlagt av internettorganisasjonen ICANN, som blant annet ønsker å øve på en slik nøkkelrotering ettersom dette aldri har blitt gjort tidligere. Til tross for at KSK ikke har en utløpsdato eller kjente svakheter, er det heller ikke god sikkerhetspraksis å la en slik kryptografisk nøkkel være gyldig i en lang periode. Rotering av denne nøkkelen skjer i en planlagt fase, noe som bidrar til å øke bevisstheten rundt dette, samt til å øke beredskapsevnen til å gjøre en slik rotering i fremtiden.

Hva må dere som leverandører gjøre? Alle DNS-tilbydere som benytter seg av DNSSEC bør sørge for at systemer er oppdatert med nyeste KSK, samt å verifisere dens integritet. Oppdatering til den nye nøkkelen, KSK-2019 med ID 20326, vil mest sannsynlig skje automatisk dersom programvaren som er ansvarlig for å levere DNS-tjenester er kompatibel med RFC5011 [2]. Det er mulig å teste om systemer støtter automatisk nøkkelrotering [3]. For systemer som ikke følger gitt standard, er man selv ansvarlig for å å gjøre oppdatering og verifisering av nøkkelen.

Vi anbefaler leverandører å sjekke at alle DNS-systemer som tilbyr DNSSEC er oppdatert og korrekt konfigurert før denne nøkkelroteringen. DNS-systemer som ikke tilbyr DNSSEC vil ikke bli berørt av denne endringen.

Referanser:

  1. https://www.icann.org/resources/pages/ksk-rollover
  2. https://tools.ietf.org/html/rfc5011
  3. https://go.icann.org/KSKtest