Client Area Sign In

Openprovider Support

Contact our support department using the form on this page. For more information about the availability of our support team, please visit our Knowledge Base. Here, you can also find answers to many questions.




Key roll-over rootzone

Op 11 oktober ondergaat het internet de grootste wijziging sinds de adoptie van DNSSEC in 2010: ICANN zal dan voor de eerste keer sinds het signeren van de rootzone acht jaar geleden de “key signing key” (KSK) vervangen – een zogenoemde key roll-over. Hoewel het DNSSEC-protocol voorziet in regelmatige roll-overs, blijkt de werkelijkheid weerbarstiger: niet alle DNS-resolvers en ISP’s zijn er klaar voor. Hoewel het overgrote merendeel de wijzigingen zonder problemen zal volgen, kunnen sommige gebruikers vanaf 11 oktober tegen niet-werkende websites aanlopen.
Waarom is de key roll-over zo belangrijk?
De DNSSEC-technologie wordt snel omarmd. Zo is bijvoorbeeld al meer dan de helft van alle .nl-domeinen beveiligd met DNSSEC. Zo heel verwonderlijk is dat niet, als je weet dat DNSSEC voorkomt dat je merk of website getroffen kan worden door DNS hijacking: het omleiden van bezoekers naar een malafide server.
Hoewel de gebruikte cryptografische sleutels heel sterk zijn en de kans dat ze gekraakt worden heel klein, is het verstandig om de sleutels zo nu en dan te vervangen: hoe langer een sleutel in gebruik is, des te groter is de kans dat deze uitlekt. En een uitgelekte sleutel betekent dat je beveiliging niets meer waard is.
De KSK-roll-over op 11 oktober pakt precies dit risico aan: door een nieuwe sleutel in de rootzone op te nemen moet iedereen die zich op het kraken ervan richtte weer helemaal opnieuw beginnen.

Wat verandert er op 11 oktober?
Op dit moment wordt de rootzone ondertekend met de originele KSK die in 2010 gepubliceerd is. Vorig jaar, in juli, heeft ICANN al een tweede KSK in de rootzone opgenomen, zonder dat deze nog gebruikt wordt om zones te signeren. En precies dat verandert de komende twee weken: vanaf 11 oktober wordt de nieuwe sleutel gebruikt. De oude sleutel blijft nog drie maanden in de zone staan, waarna hij definitief verwijderd wordt.
ICANN heeft de volgende tijdlijn gepubliceerd voor dit project:

Waarom is er een risico?
Iedere DNS-resolver in de wereld die DNSSEC valideert zal uiteindelijk de rootzone ook moeten valideren. Validatie is namelijk een hele keten van controles die uiteindelijk bij de rootzone uitkomt (“chain of trust”). Wil je hier meer over weten, kijk dan op deze net gepubliceerde pagina in onze knowledge base waarin we dit proces helemaal uitleggen.
Tot zover is er nog niets aan de hand. Iedere DNS-resolver kent de originele sleutel, de “KSK-2010” uit bovenstaande tijdlijn. Als we echter de markt gaan onderzoeken, blijkt dat nog niet alle resolvers de nieuwe sleutel, “KSK-2017”, al kennen, ook al is het al meer dan 14 maanden geleden dat ICANN deze sleutel in de rootzone heeft toegevoegd. Zodra ICANN de nieuwe sleutel gaat gebruiken voor het signeren van zones zullen dergelijke resolvers de validatie niet kunnen afronden. En niet-gevalideerde zones leiden tot niet-bereikbare websites.
Het originele plan was dat de roll-over al vorig jaar oktober zou plaatsvinden. Door bovenstaande bevindingen en het ontbreken van impactanalyses is dat echter een jaar uitgesteld.
Nog steeds is het heel moeilijk, zo niet onmogelijk, om precieze cijfers te achterhalen, maar de verwachting is dat “enkele miljoenen” internetgebruikers over de hele wereld hier last van kunnen krijgen.
Als je je eigen DNS-resolver draait, kijk dan in ICANNs KSK roll-over quick guide waarin uitgelegd wordt hoe je je configuratie kan controleren en eventueel updaten als dat nog niet automatisch gebeurd is.
Als je niet je eigen resolver draait en na 11 oktober tegen problemen aanloopt, neem dan contact op met je ISP om te kijken of zij up-to-date zijn. Een tijdelijke oplossing kan zijn dat je DNSSEC eventjes uitschakelt voor de domeinen die een probleem opleveren, hoewel dit natuurlijk ten koste van de veiligheid gaat.
Wie meer wil weten over de KSK roll-over vindt alle informatie in de speciale sectie op de website van ICANN.

Je moet inloggen om een reactie te kunnen plaatsen.
Menu