.FILE

Stockholm Waterfront 23-24 november 2020

OpenDNSSEC gör DNSSEC enkelt

Under IETF-veckan i förra veckan så arbetade vi inom OpenDNSSEC-projektet hårt på att få ut en första testversion av programvaran OpenDNSSEC – en version som är en teknisk förhandstitt på vad det är vi vill åstadkomma. Och det vi vill göra är att skapa en programvara som på bästa och säkraste sätt ser till att signera en zonfil med DNSSEC och mata ut den korrekt, signerad och med rätt nycklar enligt konstens alla regler. Dessutom vill vi göra det så enkelt som möjligt. DNSSEC är nämligen ganska svårt att göra rätt, och detta har vi på .SE naturligtvis insett. Därför vill vi skapa en programvara som alla namnserveroperatörer kan använda för att förenkla hanteringen så långt det är möjligt.

Hur nycklar rullas och signaturer förnyas är en ganska komplicerad process

Vad OpenDNSSEC gör är att titta på en policy för hur man ska signera zonfiler. En policy innehåller detaljer som vilka nyckellängder man vill ha, hur ofta man ska rulla nycklar och hur länge signaturerna ska vara giltiga. När OpenDNSSEC då tar in en osignerad zonfil så tar programmet över och skapar nödvändiga nycklar och signaturer, och ser till att man alltid följer den policy man satt upp. Det innebär också att OpenDNSSEC genererar nya nycklar och signaturer när så behövs. Man behöver inte hålla reda på det själv. Hur nycklar rullas och signaturer förnyas är en ganska komplicerad process. OpenDNSSEC implementerar det som finns beskrivet i en internet-draft om hur detta fungerar.

Ett annat mål med OpenDNSSEC är att man ska ha möjlighet till både hög säkerhet eller kapacitet att generera väldigt många signaturer (som till exempel .SE behöver för att signera .SE-zonen). Därför har vi också stöd för kryptohårdvara för att skydda både nycklar och för att accelerera hastigheten på signaturgenerering. Detta innebär att OpenDNSSEC använder ett gränssnitt som heter PKCS#11 för att hantera nycklar och krypto-operationer. Nu har alla inte köpt in specialhårdvara för att köra DNSSEC. Därför har vi tagit fram en liten programvara inom projektet som heter SoftHSM som är till för de som antingen inte har några särskilt höga säkerhets- eller prestandakrav. Man kan också använda SoftHSM för att utvärdera OpenDNSSEC-projektet, eller göra andra typer av testar utan att köpa in kryptohårdvara.

Under hösten ska vi jobba hårt för att få en riktigt bra OpenDNSSEC produkt

Man kan börja experimentera med OpenDNSSEC utan att ha alltför stora kunskaper av just DNSSEC. De policy-filer som följer med är anpassade efter en godtycklig installation, och behöver egentligen bara få eller inga småjusteringar för att passa de flesta. I dagsläget är dock den här versionen släppt för att DNSSEC-kunniga ska kunna rapportera buggar och komma in med sina testresultat. Vi kommer att under hösten jobba hårt för att få OpenDNSSEC stabil och ordentligt testad och därefter leverera en riktigt bra produkt för de som vill signera sina zoner med DNSSEC.

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn