BLOGI

DNSSEC meil ja mujal

DNSSEC MUJAL

Nagu esimeses postituses juba kirjutatud, algas töö DNSSEC-i välja töötamiseks juba 1995. aastal. Esimene RFC ehk standardi kavand avaldati 1997 ning pärast mitut katset lahendust juurutada ja standardi ümber kirjutamist, jõuti 2005. a. märtsiks standardini, mida sel hetkel toetasid juba nimeserveri lahendused Bind9 ja NSD. 2005. aasta oktoobris võttis Rootsi esimese tippdomeenina DNSSEC-i kasutusele. Möödus veel mitu aastat kuni Dan Kamnisky jõudis 2008. aasta juulis uue DNS-i ründe kirjeldamiseni, mis andis DNSSEC-i juurutamisele uue hoo. 15. juulil 2010 allkirjastati juurtsoon ning sellega oli pandud alus DNSSEC-i laialdaseks kasutuselevõtuks.

Enamus maailma suurimatest tippdomeenidest on DNSSEC-i tänaseks juba rakendanud, seal hulgas .com, .net, .org, .eu, .de, .uk jne (http://www.internetsociety.org/deploy360/dnssec/maps/). Rahvusvaheliselt domeenindust haldav ICANN on DNSSEC-i teinud kõigile uutele rahvusvahelistele tippdomeenidele kohustulikuks.

Riigid on DNSSEC-iga seoses seadnud endale ka erinevad eesmärgid. On neid, kes sooviksid näha, et kõik domeenid oleksid DNSSEC-iga kaitstud, ja on neid kes juurutavad DNSSEC-i, aga jätavad kõik muu nö turu hooleks. Edukaim riik seni on Holland, kus enam kui pooled umbes 3 miljonist .nl domeenist on DNSSEC-iga turvatud.

DNSSEC MEIL

Miks me seda teeme?

Ka Eestis on DNSSEC-ist räägitud aastaid, sisuliselt Interneti Sihtasutuse (EIS) loomisest alates. Kui veel mõned aastad tagasi oli DNSSEC-i levik algusjärgus ja polnud täit kindlust tehnoloogia elujõulisuse kohta, siis täna on sellest kujunemas tippdomeenide puhul standardlahendus, mida mõned registreerijad juba eeldavad.

Et EIS-i üheks ülesandeks on tagada ka .ee jätkusuutlikkus, siis on vaja seda teha juba rahvusvaheliste domeenidega konkurentsivõime säilitamise pärast - .ee ei suuda nendega võistelda hinnas, kuid pakutavate teenuste ja kvaliteedi osas ei tohi alla jääda.

Teiste riikide ja tippdomeeni haldajate senine kogemus on näidanud, et ka DNSSEC-iga kaasnevate riskidega on võimalik toime tulla ilma, et kulud kasvaksid ebamõistlikult suureks. Lisaks on ka DNSSEC-i juba juurutanud registrid hinnanud tulemuse pigempositiivseks.

EIS-i tegevuse hulka kuulub ka .ee turvalisus ja DNSSEC võimaldab internetis toimetavatel ettevõtetel kaitsta ennast ja oma kliente.

Kõike eelnevat arvesse võttes võib öelda, et juba mõnda aega pole Eesti jaoks enam küsimus, kas, vaid millal sellega tegeleda. Oleme otsustanud seda teha nüüd kui DANE on saamas IETF-i (Internet Engineering Task Force) poolt kinnitatud standardiks ja peale DNSSEC-i käivitumist saaks peagi sellega edasi minna.

Mida oleme teinud?

Tõsisem töö DNSSEC-iga algas 2012. aasta sügisel. Alustasime analüüsiga, uurisime tehnoloogia plusse ja miinuseid, võrdlesime olemasolevat tarkvara, küsitlesime DNSSEC-i juurutanud registirpidajaid nende kogemuste kohta, käisime koolitustel, panime püsti esimese testkeskkonna ning testisime mitmeid krüptoandmete kaitsmiseks mõeldud HSM seadmeid. Leidsime, et meie joaks ei ole esmane prioriteet, ega ka eesmärk omaette, kõikide .ee domeenide DNSSEC-iga kaitsmine. DNSSEC on oluline internetis teenust pakkuvatele organisatsioonidele, kes käsitlevad tundlikku informatsiooni nagu inimeste isikuandmeid või liigutavad reaalset raha - näiteks riigiasutused, pangad ja e-poed. Selliste organisatsioonide puhul peaks see olema ka juba internetikasutaja huviDNSSEC-i rakendamist nõuda, sest nii saab ta olla kindel, et tema andmed jõuavad õigesse kohta.

Detsembris 2012 kutsusime kokku DNSSEC-i ekspertgrupi, kuhu kuulusid registripidajate, ISP-de, pankade, telekomide ja riigi esindajad. Ekspertgrupi eesmärk oli jõuda otsusele, kas ja millal DNSSEC Eesti riigitunnusega tippdomeenil juurutada. Kohtumiste tulemusena langes 2013. aasta jaanuaris otsus asjaga kohe edasi minna, ja koos plaaniga taotleda Euroopa sturktuurfondidest toetust vajaliku riistvara hankimiseks. DNSSEC-i käivitamise tähtajaks seadsime 2014 aasta alguse. Vastava taotluse eurorahade kaasamiseks andsime viivitamatult sisse ning “juba” augustis saime teate, et meie taotlust ei rahuldatud ning saime arendustega edasi minna. Tähtajani oli nüüd aega jäänud oodatust palju vähem. Septembri algsuses kuulutasime välja riigihanke HSM-ide ostmiseks, mille võitis Leedu ettevõte, kes esindab Baltikumis Saksa krüptoseadmete tootjat Utimaco.

DNSSEC-i suhtes aitas postiivset meeleolu luua Google otsus mais 2013 lülitada oma avalikes lahendavates nimeserverites DNSSEC-i kontroll vaikimisi sisse ning augustist 2013 tegi sama ka Eesti suurim interneti teenuse pakkuja - Elion. Au ja kiitus Elionile selle initsiatiivi eest!

Kuidas oleme teinud?

EIS valis oma tehnoloogiliseks platvormiks BIND-i, mille eelisteks alternatiivide ees oli fakt, et meie nimeserverid juba olid BIND-i põhised ja nii sai hoida tehnilise lahenduse lihtsama. Lisaks on BIND tänaseni ainus DNSSEC-i allkijastamise lahendus, mis toetab dünaamilist ehk kirje-kirjelt allkirjastamist - iga lisanduva uue DNSSEC-iga kaitstud domeeni pärast ei ole vaja uuesti allkirjastada kogu tsooni. Vajadus selle järele on tingitud .ee eesrindlikust domeeni tsooni uuendamise välbast, mis toimub iga 10 minuti tagant. Lisaks, säästab see oluliselt nii serveri kui võrgu ressurssi. Küll aga on EIS sellega ilmselt maailma esimene domeeniregister, kes sellist kirje-kirjelt allkirjastamist kasutab. Tunne on natuke kõhe ja natuke uhke samaaegselt.

Detsembri alguses sisestasime oma võtme nn pseudo juurserverisse dlv.isc.org, mis loodi ja oli aktiivses kasutuses siis, kui päris juurserver võtmeid vastu ei võtnud. Meie nägime selles, aga head võimalust oluliste riskideta oma valmisolekut ja protseduure testida. Testimise käigus põrkasime nii mõnegi ootamatu probleemi otsa, mis tänaseks on lahendatud ning keset vaikseid jõule saatsime oma võtme ka IANA-sse (Internet Assigned Numbers Authority) juursnimeserveritesse lisamiseks.

DNSSEC-i rakendamiseks oleme palju teinud koostööd Riigi Infosüsteemi Ametiga, mis on olnud praktiliselt projekti algusest peale aktiivne ja viljakas. Nad kasutasid aktiivselt meie testsüsteeme ja on DNSSEC-i tulekuks hoolega valmistunud. 2014. aasta jooksul on plaanis suur osa olulistest riiklikest domeenidest DNSSEC-iga kaitsta. Ria.ee on üks esimestest domeenidest, mis seda juba rakendab. Esimese domeenina sai DNSSEC-i allkirja külge sihtasutuse enda eis.ee. RIA-ga koos töötame välja ja hangime ka DNSSEC-i teavituskava, mille abil vastav teadmine domeeniomanike ja internetikasutajateni viia.

6. jaanuarist on DNSSEC .ee domeenide jaoks ametlikult kättesaadav. Kõik Eesti registripidajad on valmis registreerijate võtmeid registrisse edastama.

Meie edasistest plaanidest DNSSEC-iga juba neljapäeval!

Loe ka eelmiseid postitusi:

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019