.FILE

Stockholm Waterfront 23-24 november 2020

Microsoft gör DNSSEC svårt

Spridningen av DNSSEC går inte så fort som vi hoppas och då Microsofts Server 2008 R2 ska innehålla stöd för DNSSEC så har man sett fram emot att få ett enkelt gränssnitt inbyggt i Windows. Ett bra och enkelt stöd här hade förmodligen gjort att många fler hoppat på tåget att signera och validera DNSSEC.

Även om steget till att signera domäner med BINDNSD tillsammans med OpenDNSSEC, ZKT, DISI eller motsvarande wrappers för signering  inte är tekniskt svårt så finns det många små DNS-operatörer(Webhotell, kommuner med mera) i Sverige som använder Windows på sina DNS’er och som gärna vill fortsätta med den miljön. Men en normal Windowsanvändare som är van vid sina flashiga wizards med ”klick, klick, next, finish” för att göra något i sin server får nog hjärtstillestånd när de ser interfacet runt DNSSEC i Windows 2008 R2. Stödet för signering av zoner i Windows 2008 R2 är så långt ifrån wizards och enkelhet man kan komma och allt cirklar runt kommandot dnscmd.exe. Att använda BIND utan hjälpmedel för signering är klart mycket enklare att förstå än ”the Microsoft DNSSEC-way”. Läs gärna Microsofts dokument ”DNS SVR2008R2 DNSSEC.doc” som beskriver hur man sätter upp en resolver med validering av DNSSEC och hur man signerar domäner i DNS’en.

För signering av domäner krävs det underverk för att de ska användas i stor skala

Signeringen av rooten som(ganska säkert…) kommer att ske under hösten 2009 gör att en Windows server 2008 R2 DNS ganska enkelt kan användas som resolver för validering av DNSSEC. Men för signering av domäner krävs det underverk för att det ska användas i stor skala. Nu pratar .SE och andra som utvecklar OpenDNSSEC att OpenDNSSEC kommer att gå att använda för signering även i Windowsmiljö. Enligt min  uppfattning kommer det att krävas ett väldigt enkelt gränssnitt för att DNSSEC i Windowsmiljön ska spridas i stor utsträckning. Windowsanvändare är av hävd handikappade utan sina enkla wizards!

En annan stor brist i Microsofts 2008 R2 DNS är avsaknaden av stödet för NSEC3. Hur tänkte de här? .org är klart för NSEC3 och alla TLD’er som kör igång DNSSEC använder idag NSEC3. Samtidigt kan de bara signera statiska zoner och inte de dynamiskt uppdaterade som hela Windows AD bygger runt.

Jag tycker att Microsoft har missat totalt i sitt stöd för DNSSEC, det känns lite som att kraven för DNSSEC togs fram på ett julbord eller första måndagen efter semestern för så här bristfälliga brukar inte Microsofts produkter vara. Vi får hoppas att OpenDNSSEC eller någon annan produkt löser en del av mina synpunkter så att det går att använda DNSSEC i Windows Server 2008 R2.

Missa inte! Torbjörn Eklöv ”Vad IPv6 gör för säkerheten”, 3 nov klockan 13.40 på Internetdagarna 2009, Anmäl dig här Gå till programmet.

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn