image

ICANN vervangt met succes DNSSEC-sleutels

woensdag 17 oktober 2018, 17:27 door Redactie, 15 reacties

De ICANN, de organisatie die verantwoordelijk is voor het beheer van domeinnaamextensies, heeft het cryptografische sleutelpaar voor het DNSSEC-protocol vervangen. Dit staat ook wel bekend als de ‘roll-over’ van de root zone Key Siging Key (KSK). Het sleutelpaar vormt de basis van de hele DNSSEC-infrastructuur.

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. DNSSEC is een verzameling extensies voor het DNS-protocol waarmee DNS-informatie digitaal wordt ondertekend en moet voorkomen dat internetgebruikers naar malafide website worden geleid.

Het vervangen van het sleutelpaar was spannend omdat het de eerste keer was dat de sleutel werd gewijzigd sinds DNSSEC in 2010 in gebruik werd genomen. Aanvankelijk zou het vervangen van de KSK op 11 oktober 2017 plaatsvinden, maar dat werd toen uitgesteld uit angst voor grote problemen voor veel internetgebruikers.

Volgens ICANN is nu alles voltooid met ‘minimale verstoring van het wereldwijde internet’. “Op het eerste gezicht lijkt er geen significant aantal internetgebruikers te zijn dat negatief wordt beïnvloed door het wijzigen van de sleutel”, aldus de ICANN.

Vanwege het geringe aantal klachten spreekt de organisatie van een succesvolle overgang naar de nieuwe Key Signing Key, ook wel bekend als KSK 2017. ICANN gaat nu verder met de volgende stap in het rollover-proces: het revoken van de oude KSK (KSK 2010). Dit zal plaatsvinden in het eerste kwartaal van 2019.

Reacties (15)
17-10-2018, 17:53 door Anoniem
Wat zijn ze toch ge-wel-dig. Zeg. Poeh poeh. Nou zeg. Wat een prestatie hoor.
17-10-2018, 19:33 door Anoniem
Ja dat is wel een prestatie van formaat gezien de prutsmethodiek die is ingezet voor DNSSEC.
18-10-2018, 06:51 door pe0mot
Heerlijk, die reacties met meningen zonder feiten.
Dit forum wordt steeds meer een prullenbak van verdwaasde meningen.
18-10-2018, 07:08 door Anoniem
Door Anoniem: Wat zijn ze toch ge-wel-dig. Zeg. Poeh poeh. Nou zeg. Wat een prestatie hoor.
Opzich is het niet zo'n prestatie om die keys te vervangen. De grote zorg lag vooral bij het aanschrijven van beheerders waarvan de recursive DNS servers mogelijk niet goed met die key-change overweg konden, en de hoop dat deze op tijd zouden upgraden naar actuele software.
18-10-2018, 08:23 door Anoniem
DNSSEC maakt je computer toch stukken veiliger tegen MITM attacks.
18-10-2018, 08:45 door Anoniem
Zie ook verslag van Moritz Müller bij SIDNlabs
https://www.sidnlabs.nl/a/weblog/a-successful-root-ksk-rollover-a-short-look-back?language_id=2
18-10-2018, 09:06 door Anoniem
Door Anoniem:
Door Anoniem: Wat zijn ze toch ge-wel-dig. Zeg. Poeh poeh. Nou zeg. Wat een prestatie hoor.
Opzich is het niet zo'n prestatie om die keys te vervangen. De grote zorg lag vooral bij het aanschrijven van beheerders waarvan de recursive DNS servers mogelijk niet goed met die key-change overweg konden, en de hoop dat deze op tijd zouden upgraden naar actuele software.

Aanschrijven ?
Niet dus - er bestaat geen adreslijst van beheerders van recursieve servers.

Het meten van hoe groot het probleem _zou kunnen worden_ heeft al de nodige moeite gekost.

"Aanschrijven" bestaat uit het posten van berichten in allerhande media - en de beheerders die je wilt bereiken zijn degenen die niks bijhouden.
18-10-2018, 10:05 door Bladie
Door Anoniem: Wat zijn ze toch ge-wel-dig. Zeg. Poeh poeh. Nou zeg. Wat een prestatie hoor.
Waarschijnlijk geschreven door iemand die op zijn/haar werk nooit iets vooraf doordenkt en gewoon begint om vervolgens ervoor te zorgen dat een klant een dag niet kan werken. Fast forward naar een aanpassing op een "stukje" internet waar potentieel miljarden mensen last van gaan hebben als het om een - niet voorziene reden - fout mocht gaan.
18-10-2018, 10:35 door Anoniem
Erasmus had toch gelijk. Qua sommige reacties hier dan. De domheid regeert.
Je zal er maar slachtoffer van worden.
18-10-2018, 13:03 door Anoniem
Degenen die denken dat de domheid regeert ten aanzien van DNSSEC hebben zich nog nooit verdiept in de complexiteit van de gekozen oplossing. KISS zou moeten regeren, maar doet dat helaas niet.
18-10-2018, 15:00 door Anoniem
Door Bladie:
Door Anoniem: Wat zijn ze toch ge-wel-dig. Zeg. Poeh poeh. Nou zeg. Wat een prestatie hoor.
Waarschijnlijk geschreven door iemand die op zijn/haar werk nooit iets vooraf doordenkt en gewoon begint om vervolgens ervoor te zorgen dat een klant een dag niet kan werken. Fast forward naar een aanpassing op een "stukje" internet waar potentieel miljarden mensen last van gaan hebben als het om een - niet voorziene reden - fout mocht gaan.
Inderdaad, wel een mening maar geen verstand van zaken. Vermoeiende mensen om mee samen te werken (tenzij het een externe is, dan is de oplossing heel simpel :-)).
18-10-2018, 15:09 door Anoniem
Maar als ik het goed begrijp is de rollover nog helemaal niet voltooid.
Er is nu een nieuwe KSK naast de oude KSK.
volgens mij beginnen de eventuele problemen met de verwijdering van de oude KSK, want op dat moment zijn de certificaten die met de KSK getekend zijn ongeldig geworden.
Of mis ik iets?
18-10-2018, 16:31 door Anoniem
Door Anoniem 15:09: Maar als ik het goed begrijp is de rollover nog helemaal niet voltooid.
Er is nu een nieuwe KSK naast de oude KSK.
volgens mij beginnen de eventuele problemen met de verwijdering van de oude KSK, want op dat moment zijn de certificaten die met de KSK getekend zijn ongeldig geworden.
Of mis ik iets?
Ja,
Een KSK tekent geen certificaten, maar wordt gebruikt voor de RRSIG... zeg maar een handtekening zodat je weet dat de data niet is gemanipuleerd.
19-10-2018, 18:29 door marcod
Door Anoniem: Maar als ik het goed begrijp is de rollover nog helemaal niet voltooid.
Er is nu een nieuwe KSK naast de oude KSK. Volgens mij beginnen de eventuele problemen met de verwijdering van de oude KSK

Het meest spannende moment qua mogelijke problemen is inmiddels achter de rug.

Het klopt dat de oude KSK nog in de root zone staat, maar hij 'doet' niets meer. De digitale handtekeningen over de zonefile worden sinds 11 oktober (16:00 UTC) gezet met de nieuwe KSK. Die overgang was dus spannend, want DNSSEC validerende resolvers die deze nieuwe KSK nog niet hadden opgepikt, konden vanaf dan problemen gaan geven. Schijnt bij een grote ISP in Ierland ook gebeurd te zijn, al zouden het ook ontzettend toevallige andere DNS-problemen geweest kunnen zijn.

Over een paar maanden - als alles goed gaat en die kans is bijna 100% - zal hij definitief verdwijnen. Een eventueel rollback noodscenario is dan onmogelijk geworden, vandaar dat ICANN ruim de tijd neemt.
23-10-2018, 09:14 door Anoniem
Door Anoniem:
Aanschrijven ?
Niet dus - er bestaat geen adreslijst van beheerders van recursieve servers.

Het meten van hoe groot het probleem _zou kunnen worden_ heeft al de nodige moeite gekost.

"Aanschrijven" bestaat uit het posten van berichten in allerhande media - en de beheerders die je wilt bereiken zijn degenen die niks bijhouden.
Aanschrijven, in die zin dat ze een lijst met IP adressen hebben waarachter DNS servers schuilen die mogelijk niet goed omgaan met de wijziging:
http://root-trust-anchor-reports.research.icann.org/rfc8145-addresses-that-have-reported-KSK-2010-only-at-least-once-since-2017-09-01.txt

De ASN's zijn aangeschreven die op hun beurt de eigenaren van de IP adressen hebben moeten aanschrijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.