Uudised, sündmused ja blogi

ICANN 49 ja DNSSEC

Nagu ikka andis ISOCi ja DNSSECi aktivist Dan York ülevaate DNSSECi olukorrast üle maailma. Tema juttu pole mõtet hakata siin ümber rääkima, graafiline ülevaade on kätte saadav ka ISOCi lehel (http://www.internetsociety.org/deploy360/dnssec/maps/), aga lühidalt võib öelda, et TLDde hulgas on DNSSEC hästi levinud ja jätkab seda suunda. 44 Euroopa riigist on 31 juba DNSSECi juurutanud ja 3 on teatanud, et töötavad selle nimel. DNSSECi kiirele levikule aitavad kaasa ka uued ülddomeenid, mille puhul on DNSSEC kohustuslik. Nii ongi 206st delegeeritud ülddomeenist 192 DNSSECi juurutanud. Võib öelda, et pakkumisega on kõik hästi.

Huvitavamatest esitlustest paistis silma Geoff Houston, kes oma sõnavõtus vaatas DNSSECile otsa nõudluse poole pealt. DNSSECi võimalus on laialt levinud, aga kui domeeniomanikud nüüd seda oma domeenil rakendavad, kas siis üldse ja kui palju on neid, kes on võimelised seda kontrollima. Olukorra selgitamiseks viidi läbi eksperiment, kus internetireklaami süsteemi kaudu söödeti kasutajatele ette URLe, mille puhul DNSSEC oli kas rakendatud ja korras, katki või puudu. Jälgiti kui paljud lahendavad nimeserverid küsisid kontrollimiseks DNSSECi infot ning see järel kui suur hulk kliente tuli katkisest usaldusahelast hoolimata tagasi sisu pärima. Eesti hoidis siin lippu väga kõrgel. Oleme selle eksperimenti alusel maailmas neljandad korrektselt valideerivate nimeserverite osas - 44,7% Eestist algatatud päringutest tulid DNSSECi kontrollivate nimeserverite tagant. Siin tuleb teha sügav kummardus Elionile, kes on olnud Eesti DNSSECi pioneer ja ka põhjus nii heade tulemuste taga. Meist eespool olid Jeemen, Rootsi ja Sloveenia. Eksperimendis oli esindatud kokku 118 riiki ja kogu valimi peale vaid 6% klientidest olid võimelised DNSSECi kontrollima. Arenguruumi on seega veel kõvasti. Geoff meenutas taas ka olulisi DNSSECi probleeme - väga väikese päringu väga mahukad vastused. Kas DNS üle TCP võiks olla siin üks võimalikest lahendustest, missugune on nimeserverite, tulemüüride ja teiste võrguseadmete tugi sellisele lahendusele ja kuidas see mõjutaks nimeserverite koormust? Ka see, et lahendavad nimeserverid annavad täna katkise usaldusahelda tuvastades vastuseks SERVFAIL, vajab elegantsemat lahendust? Häid vastuseid aga alles otsitakse.

Hollandi, maailma seni kõige edukama DNSSECi rekendava tippdomeeni .nl, arendusmeeskond tutvustas oma eksperimetaalset teenust ValMon (DNSSEC Validation Monitor). Teenuse eesmärk on vähendada DNSSECi valideerimise vigu ja see läbi aidata kaasa DNSSECi kasutuselevõtule. Vead DNSSECis valmistavad probleeme eelkõige ISPde jaoks läbi kõnede kasutajatoele. Need on probleemid, mille põhjustajaks pole ISP ja mille suhtes nad midagi ette võtte ei saa. Kliendid, aga ei saa näiteks aru, miks mõni leht, mis neil ei avane, naabri teenusepakkuja vahendusel aga töötab. Suurima probleemide allikana tõid hollandlased üllatuslikult välja regisitripidaja vahetuse registripidaja juurde, kes ei paku DNSSEC teenust. ValMon annab võimaluse internetiteenuse pakkujal kiiresti kontrollida probleemi põhjust ning teavitada nii registrit kui vastavat registripidajat probleemist. Teenus annab võimaluse ka registripidajatel lihtsalt kontrollida oma tsooni. Seni võis domeen olla katki nädalaid ilma, et registripidaja sellest midagi teaks, sest registripidajad ei jooksuta tihti oma lahendavaid nimeservereid. Samuti on teenus abiks edasimüüjaid kasutavatele registripidajatele oma partnerite kvaliteedi kontrolliks. Teenus võimaldab kontrollida ka kolmanda taseme domeene, mida registri tasemelt varem võimalik näha polnud. Teenus käivitati mais 2013 ning pea aastaga on vähenenud valideerimisevigade arv  ligi 900lt alla 200 veani päevas. Hollandlased on tulemustega igatahes rahul.

Tõestamaks, et DNSSEC on hea platvorm täiendavate infoturbe lahenduste juurutamiseks, viidi läbi ka kiire DANE demonstratsioon. DANE protokolli mõte on kasutada DNSSECi poolt rajatud usaldusahelat ka näiteks TLS/SSL sertifikaatide kontrollimiseks, e-kirjade allkirjastamiseks jne. Esitluse käigus loodi uus TLS sertifikaat, lisati vastav kirje DNSi, allkirjastati see DNSSECiga ja kontrolliti - kõik toimis. DANE võimaldab TLSile läheneda nelja erimoodi allkirjastades CA sertifikaadi või tunnustatud CA poolt välja antud domeeni sertifikaadi, genereerides ise oma domeeni sertifikaadi või genereerides ise CA sertifikaat. DANE puhul on aga ka piirangud sarnased DNSSECile - puudub vaikimisi tugi operatsioonisüsteemides, sirvikutes ja teistes rakendustes. Viimase kahe võimaluse puhul peab kasutaja ise käsitsi lisama ka sertifikaadi usaldusväärsete sertifikaatide hulka oma sirvikus, muidu kuvatakse jätkuvalt hoiatust, et sertifikaadis ja seega ka domeeni õigsuses, ei saa kindel olla. Ka nn usaldusväärse CA poolt väljastatud sertifikaadile täiendava turvalisuse taseme lisamisel, tuleb selle kontrollimiseks ise paigaldada oma sirvikusse vajalik pistikprogramm (https://www.dnssec-validator.cz/).

Ka mina sain oma käe ICANNil esinemisega valgeks. Tutvustasin Eesti teekonda DNSSECi käivitamiseni selle aasta jaanuaris. Enim pälivis tähelepanu meie valik kasutada testimiseks DLV-d ehk pseudo juurnimeserverit, mille sulgemise eest ka näiteks Dan York on aktiivselt sõna võtnud. Meie toodangusse mineku eelsed testid, aga tõid lauale olulise argumendi DLV alles hoidmise poolt. Positiivset tähelepanu pälvis ka meie kiire kirje kaupa signeeriv allkirjastamise lahendus. Samal teemal jätkates pole aga Eesti DNSSECi projekt veel lõppenud - kuigi kõrvalt vaatajaile tundus meie algus suhteliselt edukas, ei osuta seni kahjuks ükski suurtest registripdiajatest oma klientidele DNSSECi teenust ning ootame veel panku ja e-poode oma kasutajaid kaitsma. Eesti riik on näidanud tubli eeskuju eelkõige eesti.ee ja valimised.ee näol. Salva Kindlustus on tõusnud esile kui oma klientide turvalisuse eest tõeliselt hooliv ettevõte. Nimekiri on siiski veel lühike ja jätkame tööd Eesti interneti turvalisuse parandamise nimel.

DNSSECi töötoa esitlused ja videosalvestus on leitavad ICANNi koduelehelthttp://singapore49.icann.org/en/schedule/wed-dnssec