Key roll-over rootzone

Op 11 oktober ondergaat het internet de grootste wijziging sinds de adoptie van DNSSEC in 2010. ICANN zal voor de eerste keer sinds het ondertekenen van de rootzone acht jaar geleden de “key signing key” (KSK) vervangen – een zogenoemde key roll-over. Hoewel het DNSSEC-protocol voorziet in regelmatige roll-overs, blijkt de werkelijkheid weerbarstiger. Niet alle DNS-resolvers en ISP’s zijn er klaar voor. Hoewel het overgrote merendeel de wijzigingen zonder problemen zal kunnen volgen, kunnen sommige gebruikers vanaf 11 oktober tegen niet-werkende websites aanlopen.

Waarom is de key roll-over zo belangrijk?

De DNSSEC-technologie is snel omarmd door registrars en domeinhouders. Zo is bijvoorbeeld al meer dan de helft van alle .nl-domeinen beveiligd met DNSSEC. Zo heel verwonderlijk is dat niet, als je weet dat DNSSEC voorkomt dat je merk of website getroffen kan worden door DNS hijacking: het omleiden van bezoekers naar een malafide server.

Hoewel de gebruikte cryptografische sleutels heel sterk zijn en de kans dat ze gekraakt worden heel klein, is het verstandig om de sleutels zo nu en dan te vervangen. Hoe langer een sleutel in gebruik is, des te groter is de kans dat deze uitlekt. En een uitgelekte sleutel betekent dat je beveiliging niets meer waard is.
De key roll-over op 11 oktober pakt precies dit risico aan. Door een nieuwe sleutel in de rootzone op te nemen moet iedereen die zich op het kraken ervan richtte weer helemaal opnieuw beginnen.

Wat verandert er op 11 oktober?

Op dit moment wordt de rootzone ondertekend met de originele KSK die in 2010 gepubliceerd is. Vorig jaar, in juli, heeft ICANN al een tweede KSK in de rootzone opgenomen, zonder dat deze nog gebruikt wordt om zones te signeren. Precies dat verandert de komende twee weken. Vanaf 11 oktober wordt de nieuwe sleutel gebruikt. De oude sleutel blijft nog drie maanden in de zone staan, waarna hij definitief verwijderd wordt.

ICANN heeft de volgende tijdlijn gepubliceerd voor dit project:

Waarom is er een risico?

Iedere DNS-resolver in de wereld die DNSSEC valideert zal uiteindelijk de rootzone ook moeten valideren. Validatie is namelijk een hele keten van controles die uiteindelijk bij de rootzone uitkomt (“chain of trust”). Wil je hier meer over weten, kijk dan op deze pagina in onze Knowledge Base waarin we dit proces helemaal uitleggen.

Tot zover is er nog niets aan de hand. Iedere DNS-resolver kent de originele sleutel, de “KSK-2010” uit bovenstaande tijdlijn. Als we echter de markt gaan onderzoeken, blijkt dat nog niet alle resolvers de nieuwe sleutel, “KSK-2017”, al kennen – ook al is het al meer dan 14 maanden geleden dat ICANN deze sleutel in de rootzone heeft toegevoegd. Zodra ICANN de nieuwe sleutel gaat gebruiken voor het signeren van zones zullen dergelijke resolvers de validatie niet kunnen afronden. En niet-gevalideerde zones leiden tot niet-bereikbare websites.

Het originele plan was dat de roll-over al vorig jaar oktober zou plaatsvinden. Door bovenstaande bevindingen en het ontbreken van impactanalyses is dat echter een jaar uitgesteld.

Nog steeds is het heel moeilijk, zo niet onmogelijk, om precieze cijfers te achterhalen. De verwachting is dat “enkele miljoenen” internetgebruikers over de hele wereld hier last van kunnen krijgen.

Wat moet ik doen?

Als je je eigen DNS-resolver draait, ga dan naar ICANNs KSK roll-over quick guide. Hierin wordt uitgelegd hoe je je configuratie kan controleren en eventueel updaten als dat nog niet automatisch gebeurd is.

Als je niet je eigen resolver draait en na 11 oktober tegen problemen aanloopt, neem dan contact op met je ISP om te kijken of zij up-to-date zijn. Een tijdelijke oplossing kan zijn dat je DNSSEC eventjes uitschakelt voor de domeinen die een probleem opleveren, hoewel dit natuurlijk ten koste van de veiligheid gaat.

Wie meer wil weten over de KSK roll-over vindt alle informatie in de speciale sectie op de website van ICANN.