Uudised, sündmused ja blogi

DNSSEC ja DANE @ ICANN53

Lõuna-Ameerika domeeniregistrite DNSSECi juurutamist puudutavate esitluste hulgast jäi silma LACNIC-i (Lõuna-Ameerika registreid ühendav analoog Euroopa CENTRile) presentatsioon, mille üheks alateemaks oli kuidas juurutada DNSSEC väikeste kuludega - pilve DNSSEC. Mõte selles, et väikesel registril või registripidajal ei ole tihti mõistlik teha DNSSECi juurutamiseks vajalikku investeeringut, kuid viies DNSSECi allkirjastamise pilve saab kulud tuua alla tasemele, mis teeb selle kättesaadavamaks. Pilv suurendab riske, aga ongi valiku koht, kas võtta sisse pilve risk (tuleb usaldada kolmandat osapoolt) või jätta kliendid DNSSECi võimalusest ilma. 

Puudutati ka juurtsooni KSK võtme vahetust. Seda pole juurtsoonis veel tehtud, kuid 5 aastat saab täis ja on aeg välja vahetada nii HSMid kui võtmed - juurtsooni DNSSECi poliitika näeb ette HSMide uuendamist iga 5 aasta tagant seoses HSMi patarei elueaga. Ühes sellega paisati õhku mõte võtme algoritmi vahetamiseks näiteks lühemate, kuid teoreetiliselt kindlamate elliptiliste kurvide vastu. Võtmevahetus on oluline teema suures ringis arutamiseks ja teadvustamiseks, sest mõjutab praktiliselt kõiki nimeservereid üle maailma - peab ju KSK ehk võtme allkirjastamise võtme vahetuse puhul jõudma uus võti kõigi DNSSECi toetavate nimeserverite "kõhtu". Ühiselt jõuti tõdemuseni, et selline esmakordne võtmevahetuse protseduur ühendatuna võtme algoritimi vahetusega ei ole hea mõte, seda enam, et elliptiliste kurvide tugi pole veel kõikides nimeserverites juurutatud.

Siit saab sujuvalt üle minna uute algoritmide juurutamise arutelule. DNSSECi standardis on täna nimetatud 11 algoritmi, millest üks (RSA/MD5) on ametlikult iganenud. Samal ajal näitab kasutusstatistika, et kasutatakse sisuliselt vaid kahte varianti RSA-SHA1 ja RSA-SHA256, kusjuures RSA-SHA1@1024 esineb enam kui 2 korda rohkem kui kõiki teisi variante kokku. Uuemaid algoritme nagu ECDSA (elliptilised kurvid) ja GOST on Ed Lewise (ICANN) analüüsi järgi kasutusel 0,01% juhtudest. Miks? Uuemad algoritmid on kiiremad nii valideerimise kui allkirjastamise kohapealt, võtmed on väiksemad, mis vähendab pakettide fragmenteerimist ja DDoS tundlikkust ning turvalisemad. Probleemiks on aga DNSSECi kontrollivate nimeserverite, aga ka registrite ja registripidajate poolse toe puudumine. Viimane on tingitud sellest, et väga paljud teenusepakkujad kontrollivad algoritme, millele vastavad võtmed nimeserveritesse üles laetakse ning piiravad lubatud valikud omalt poolt. Sisuliselt pole selleks mingit vajadust, kuid läbi selle pidurdatakse uute algoritmide levikut. Kui registripidajad ei luba tihti üldse teatud algoritmide kasutamist, siis nimeserveritarkvara pool on teine probleem. RFC4035 nimelt näeb ette, et kui lahendav nimeserver ei tunne ära kasutatavat algoritmi käsitletakse domeeni kui allkirjastamata! Sellegi poolest tehti üleskutse toetada ja igat pidi tõugata tagant uuemate algoritmide kasutusele võttu ja tuge.

DANE kogemust jagasid samuti mitmed registrid. Näiteks Hollandi registri arendusosakond (NLnetLabs) on kasutanud juba aasta aega DANE nii HTTPSi, SMTP kui ka katsetanud OpenPGP ja S/MIME-ga. Viimastega töö veel käib, kuid TLSi ja SMTP (Postfix, OpenSMTPd, Exim) puhul on ka tarkvaraline tugi juba arvestatav. SMTP turvalisust koostöös DANEga puudutati veel. DANE aitab muidu krüpteerimata ja autentimata SMTP andmevahetuse muuta turvalisemaks. 1400 domeeni üle maailma juba kasutab seda SMTP jaoks - Saksamaal eriti kuum teema tingituna nende tuntud suhtumisest privaatsusesse ja nuhkimisse. DANE osa kokkuvõtteks tuleb endiselt toonitada, et DNSSEC ärkab tõeliselt ellu alles koos DANEga ning DANE on midagi enamat kui lihtsalt e-posti turvalisemaks muutmise lahendus. Siin kohal tuleb aga ka endale tuhka pähe raputada, sest pole olnud mahti .ee kontekstis DANEga veel tõsiselt tegelema hakata. Samas asi väärib edendamist.

Huvitava ettekande tegi Kanda register oma initsiatiivist toetada DNSSECi levikut. Kanada register arendas REST API nimeserveri operaatoritele registriga otse suhtlemiseks. Probleem, mida lahendama asuti oli registripidajate leige huvi DNSSECi toetada, samal ajal kui suured nimeserveri teenuse pakkujad nagu Cloudflare sooviksid kõik oma kliendid DNSSECiga kaitsta. Uus lahendus lõikab registripidaja vahelt. Tegemist väga lihtsa lahendusega, mille täiendav võlu seisneb automaatses DNSSECi kirjete uuendamises. Register kontrollib kord päevas üle kõik allkirjastatud domeenid ja leides neid teenindavates nimeserverites nendega seotud uusi võtmeid, tõmmatakse need automaatselt alla või eemaldatakse üleliigsed. Päris maha võtta DNSSECi nii ei saa, kui register ei leia nimeserverist võtmeid, ei muudeta registri pool midagi. Hetkel piirdub lahendus vaid DNSSECi kirjetega, aga järgmine loogiline samm oleks anda ligipääs ka kõigile teistele nimeserveri kirjetele. Hetkel käib aga töö tehtu kirjeldamise ja standardiks vormimise kallal. Riigitunnusega domeeniregistrite hulgas on huvi selle lahenduse vastu märkimisväärne nagu ka minul.