Uudised, sündmused ja blogi

DNSSEC - kas tõeline prillikivi?

DNSSEC-i teenus seab oluliselt kõrgemad nõudmised nimeserveri riist- ja tarkvarale. Lisaks tuleb kriitilist infot haldavate domeenide omanikel ja DNSSEC-i teenuse pakkujatel tõsiselt mõelda ka oma DNSSEC võtmete kaitsmisele, näiteks spetsiaalse HSM (Hardware Security Module) seadme abil. See nõuab investeeringuid, mis domeeni omaniku seisukohalt võivad olla igati põhjendatud, kuid interneti teenuse pakkuja (ISP) ning domeeni registripidaja jaoks on see küsitavam. Registripidaja ja ISP puhul on tegemist äriettevõtetega, kelle jaoks on oluline kuidas tehtud investeeringud ennast tagasi teenivad - kui domeeni omanike seas on nõudlus väike on ka vajalike kulutuste tasuvus ebatõnäoline. Kõigi registreerijate jaoks ei tundu domeeni registreerimise kallimaks muutmine õiglane, kui aga küsida lisatasu vaid DNSSEC-ist huvitatultelt, oleks täiendav tasu investeeringu maksumust arvestades liialt suur. Teenuse tasu tõstmine kõigi registreerijate jaoks oleks põhjendatud kui registripidaja pakuks teenust vaikimisi kõigile registreerijatele. Argument DNSSEC-i juurutamise poolt oleks ka see kui DNSSEC-ist saaks teenuse pakkuja jaoks konkurentsieelis - tooks registripidajale kaasa märkimisväärse hulga uusi registreeringuid või peataks olemasolevaid registreerijaid teenuse pakkujat vahetamast.

DNSSEC-i võimalikult usaldusväärseks kontrollimiseks, peaks see toimuma kasutaja arvutis. Kahjuks tuleb aga täna selleks kasutajal paigaldada oma arvutisse täiendavaid programme, sest vaikimisi ei võimalda seda veel ükski enamlevinud internetisirvik ega operatsioonisüsteem. Enamus kasutajaid aga ei taha tegeleda programmide paigaldamise ja seadistamisega ning seetõttu langeb kontrollija roll interneti teenuse pakkujatele (ISP). See omakorda aga tähendab, et liiklus, mis jääb ISP ja kasutaja arvuti vahele, on turvamata. Lisaks kui ISP nimeserver leiab, et mõni DNSSEC-i allkiri vastuses ei ole korrektne, saadetakse kasutajale veateade, kust pole võimalik aru saada miks kasutajale soovitud lehte ei kuvata - kas oli viga aadressis, on midagi valesti teenuse pakkuja süsteemis või on probleem tuvastatud DNSSEC-iga.

DNSSEC on tundlik vigadele. Kui DNS on sisuliselt “lollikindel”, siis DNSSEC-i puhul võib väiksemgi viga võtme halduses tähendada seda, et halvemal juhul on näiteks kõik .ee aadressid internetis kättesaamatud. Lisanduvate riskide maandamiseks on vajalikud väga täpselt kirjeldatud ja järgitavad protseduurid. Kui kõige selle kõrval võtta veel arvesse, et näiteks Eestis pole teada olevalt toimunud ühtegi edukat nö kõrge profiiliga DNS-i andmete võltsimise rünnet, kui Maksu- ja Tolliameti hasartmängu keskkondade tõkestamine välja arvata, siis võib tahest tahtmata tekkida küsimus, et milleks siis kõik see kulu ja risk. Samas võib aga ka küsida, et kas tõesti peab ootama, et midagi suurt juhtuks enne kui neid turvaauke lappima hakata?

Ehk on siis DNSSEC-ile alternatiive? Alternatiive on välja pakutud küll - näiteks DNSCurve, kuid et taoline süsteem ka tegelikult toimiks, on vaja sellele laia tuge ning selline tugi on täna olemas vaid DNSSEC-il.

DNSSEC-i levikule andis aga tõelise hoo sisse täiendavate rakendusalade väljatöötamine. Nii ongi DNSSEC-ist kujunenud platvorm, millele saab rajada rida kavalaid lahendusi. Näiteks allkirjastada e-kirju, väljastada ise SSL-sertifikaate või lisada täiendav turvaankur mõne sertifikaadi väljastaja (CA) sertifikaadile. Selle jaoks on ellu kutsutud projekti nimega DANE (DNS-based Authentication of Named Entities). DANE-st ei ole veel saanud standard, kuid see on väljavaade, mis on pannud silmad särama nii mõnelgi kellega olen rääkinud samal ajal kui DNSSEC ise jätab mõneti kahevahel oleva mulje.

Järgmises postituses räägin DNSSEC-i levikust ja Eesti Interneti Sihtasutuse tegevusest ja plaanidest selle juurutamisel.

Esimest postitust DNSSEC-ist loe siit: DNSSEC - mis, miks ja kellele?