Stockholm Waterfront 25-26 november 2019

DNSSEC for alle

Sådan som sikkerheden er på internettet i dag er det vigtigt at tænke i løsninger som kan hjælpe på at forbedre sikkerheden. DNSSEC løser ikke alt, men er efter min mening en del af løsningen. Med DNSSEC har man mulighed for at validere om det er den rigtige server man bliver sendt videre til når man går ind på et domæne som f.eks. pts.se.

Man undres ofte over hvorfor DNSSEC ikke er mere udbredt end det er i Sverige. Dette især med tanke på at .se er en af de tld’er som jeg anser som værende længst fremme på området. Jeg har derfor gjort mig en del tanker på hvorfor det er som det er i dag, samt hvordan vi kan forbedre situationen.

Nøgleadministration

Problemet med at få DNSSEC er ofte nøgleadministrationen. Dette kan håndteres på flere måder. Den letteste for alle parter vil være hvis registrar og DNS operatør er samme udbyder. Her vil det så være muligt at outsource hele arbejdet til denne. Registraren kan sørge for at vedligeholde nøglerne for kunden, samt kommunikere disse direkte med .se igennem en krypteret forbindelse til .se’s EPP server. Her skal man være opmærksom på at dette ikke vil være muligt hvis man vælger .se’s egen registrar .SE direkt ikke tilbyder andre tjenester end selve domænet.

Ovenstående løsning gør at alle kan være med på DNSSEC uden problemer eller yderligere investeringer. Problemet er at nogle vil mene at løsningen ikke er sikker nok i og med at det er registraren der udelukkende er ansvarlig for at nøglerne håndteres sikkert.

En alternativ løsning vil derfor være at man selv sørger for at publicere sine nøgler på navneserveren samt laver en aftale med en registrar hvor man via et interface selv har mulighed for at kommunikere nøglerne videre til .SE. Her kræver det så at man selv har intern viden om DNSSEC samt at man har procedurer for vedligeholdelse af sine nøgler.

Såfremt at man håndterer sine nøgler forkert, risikerer man at ens domæne bliver utilgængeligt i og med at .se zonen indeholder records som ikke matcher de som publiceres af navneserveren.

DNS servere

Et andet problem er de DNS servere der er i brug rundt omkring i dag ikke understøtter DNSSEC. Dette kan f.eks. være hvis de er gamle, uopdaterede eller hvis de del er et større hosting kontrolpanel som endnu ikke har DNSSEC understøttelse.

Med hensyn til de gamle og uopdaterede servere kan det være en hård kamp. I mange virksomheder rør man ikke ved noget der virker og DNS servere er som ofte ganske stabile.

Men ligesom man med nøgleadministrationen har muligheden for at gøre det nemt for slutkunden, så bør man også tænke på hvordan man kan gøre det nemt for registraren og dns udbyderen. I dag er der desværre et ganske lille antal udbydere der tilbyder DNSSEC. Min teori er at det er i mange tilfælde er for besværlig og i mange tilfælde skyldes at man anvender et system som ikke understøtter DNSSEC. F.eks. anvender en del hosting firmaer systemer fra Parallels og Cpanel. Ingen af disse software leverandører har indbygget DNSSEC support i dag.

Mit forslag til en løsning

En af .SE’s formål er at støtte udviklingen af internet i Sverige. .SE bør derfor aktivt sørge for at værktøjerne til administrationen af DNSSEC er der. Dette gør .SE allerede i en stor udstrækning, ved f.eks. at deltage i internationale arbejdsgrupper, sørge for konferencer og lignende. Men efter min mening er det absolut vigtigste for at få DNSSEC udbredt, at få alle udbyderne med på vognen. Dette kan gøres ved at sikre at de har de rigtige værktøjer der gør det nemt for dem, at gøre det nemt for kunderne. Man kunne f.eks. forestille sig et administrationsværktøj til DNS serveren BIND som kunne koble direkte op mod .SE’s systemer. Registraren ville dermed blot skulle installere dette og indskrive sine loginoplysninger til .SE og derefter fungerede det hele fuldautomatisk. Derudover bør man sponsorere lignende udvidelser til de mest udbredte kontrolpanelsystemer.

Hvis man får udbyderne med, er jeg ganske sikker på at udbredelsen af DNSSEC vil stige ganske markant over kort tid.

Næsten alle kunder ønsker øget sikkerhed

Jeg har selv været med til at være med til at spørge et par tusinde kunder hvorvidt de ønskede øjet sikkerhed på deres domæne ved hjælp af DNSSEC. Der var ca. 1500 besvarelser og 80% svarede ja til spørgsmålet. Normalt siger man at en undersøgelse er repræsentativ med over 1000 besvarelser. Teoretisk set ønsker dermed mange hundrede tusinde domæneejere at deres domæne bliver sikret med DNSSEC.