NSEC3
Sdružení CZ.NIC, správce domény CZ a 0.2.4.e164.arpa, připravuje změnu ve způsobu zabezpečení pomocí technologie DNSSEC.
Při zavedení této technologie na podzim roku 2008 bylo rozhodnuto, že bude spuštěna ve variantě označované jako NSEC. NSEC je součást specifikace DNSSEC, která slouží k vyřešení problému autorizované odpovědi o neexistenci domény. V rámci podepsání zónového souboru obsahujícího všechny záznamy pro danou doménu dojde k tomu, že mezi každou poddoménu v evidenci je vložen NSEC záznam, který odkazuje na další poddoménu v abecedním pořadí. Tento NSEC záznam je pak standardním způsobem podepsán. V případě, že klient pošle žádost týkající se neexistující domény, dostane v odpovědi podepsaný NSEC záznam, který se vztahuje k předchozí existující doméně, a je v něm označena následující existující doména. Klient tak může jednoduše ověřit, že požadovaná doména neexistuje. NSEC záznamy ale mají jednu nepříjemnou vlastnost. Díky zřetězení záznamů po sobě jdoucích domén je jednoduše možné získat obsah celé zóny vhodným kombinováním dotazů na NSEC záznamy. Pro toto procházení zóny se vžil termín zonewalking. Z pohledu zabezpečení se nejedná o fatální problém - DNS je veřejná databáze a není možné se tímto způsobem dostat k žádným citlivým údajům. Proto také tuto variantu zvolili prakticky všichni správci domén, kteří DNSSEC zavedli.
Na půdě pracovních skupin IETF vznikaly ale také varianty, které by problém zonewalkingu odstranily. Výsledkem byla varianta označovaná jako NSEC3, která byla publikovaná v RFC 5155. V NSEC3 zůstal způsob prokazování neexistence domény tím, že klient obdrží podepsaný záznam odkazující na předchozí a následující doménu, což znamená, že tam opravdu požadovaná doména není. Změnil se ale způsob jakým jsou domény identifikovány. Místo jména domény je zde použit hash tohoto jména. Domény jsou podle hashe svého jména setříděné v zónovém souboru. Klient, který se ptá na neexistující doménu, si může spočítat hash jejího jména a porovnáním s odpovědí obsahující předchozí a následující hash v zónovém souboru může provést stejné ověření neexistence domény jako ve variantě NSEC.
Zavedení NSEC3 do obou domén vyžaduje ze strany CZ.NIC, jakožto správce obou domén, výměnu KSK klíčů a znovupodepsání zónového souboru novým algoritmem s těmito klíči. Tato interní změna z varianty NSEC na variantu NSEC3 nemá žádný přímý vliv na držitele domén a uživatele internetu. Touto změnou budou ovlivněni pouze provozovatelé rekurzivních DNS serverů, kteří již zapnuli validaci pomocí technologie DNSSEC, tedy převážně poskytovatelé připojení k internetu (ISP). Pro ně je změna ekvivalentní pravidelné rotaci klíčů pro danou doménu s jednou změnou. Nové typy klíčů (RSASHA512) a varianta NSEC3 musí být podporované v software rekurzivního DNS serveru. Pokud je toto splněno, je vše v pořádku, jinak je nutné provést upgrade. V případě domény ENUM není třeba v ideálním případě měnit nic - klíč pro podepsání této domény bude automaticky vložen do nadřazené domény e164.arpa. ISP validující tuto doménu by měl mít ve své konfiguraci právě klíč této nadřazené domény a tedy nepotřebuje nic měnit. V případě domény CZ bude třeba přidat do konfiguraci DNS serveru nový klíč jako při standardní rotaci klíčů. Protože v době změny klíčů již s největší pravděpodobností bude podepsána kořenová doména, je možné že ISP již bude používat přímo klíče kořenové domény. V tomto případě je situace stejná jako u domény ENUM a není nutná žádná změna v konfiguraci.
Harmonogram zavedení NSEC3
- 4.6.2010 - Spuštění testovacího prostředí pro provozovatele rekurzivních DNS serverů - PROVEDENO
- 15.6.2010 - Přechod na NSEC3 v doméně 0.2.4.e164.arpa - PROVEDENO
- 3.8.2010 - 24.8.2010 - Přechod na NSEC3 v doméně CZ - PROVEDENO
V případě jakýchkoliv dotazů ohledně přechodu na NSEC3 nás kontaktujte na adrese podpora@nic.cz.
© 2024 CZ.NIC, z. s. p. o.
Ostatní weby:
- MojeID
- FRED
- DNSSEC
- CZ.NIC-CSIRT
- CSIRT.CZ
- Projekty
- Akademie
- Edice CZ.NIC
- Doménový prohlížeč
- Kontakt
- Kariéra
- Česky
- English