ICANN skal skifte rotnivå-nøklene for DNSSEC, teknologien som kan hindre utnyttelse av forfalskede DNS-oppføringer. Men nå er overgangen satt på vent. Illustrasjon.
ICANN skal skifte rotnivå-nøklene for DNSSEC, teknologien som kan hindre utnyttelse av forfalskede DNS-oppføringer. Men nå er overgangen satt på vent. Illustrasjon. (Bilde: Norid)

KSK Rollover satt på vent

60 millioner kunne ha mistet internett-tilgangen ved bytte av DNS-nøkkel

– Slurv og latskap hos internettilbydere.

(Oppdatert med kommentarer fra Norid.)

Neste ukes planlagte utskiftning av kryptonøklene som beskytter rotnivået av DNS er utsatt. Det melder ICANN (Internet Corporation for Assigned Names and Numbers).

Etter lang tids planlegging var det meningen at nøkkelparet som kalles Root Zone Key Signing Key (KSK) skulle byttes ut for første gang den 11. oktober i år.

Hele prosessen blir nå forsinket. Årsaken er slurv og latskap hos internettilbydere som ikke har fulgt med i timen, mener nettstedet Bleeping Computer.

Det er beregnet at overgangen som blir kalt KSK rollover kan berøre så mange som hver fjerde internettbruker globalt, nærmere bestemt 750 millioner mennesker.

Nye prognoser viser at et «betydelig antall» aktører er uforberedt, ifølge ICANN.

– Vi er glade for at ICANN tar det å sjekke at folk er rede seriøst, før man setter i gang med en sånn type nøkkelrullering, sier daglig leder Hilde Thunem i Norid til digi.no.

Norge i førersetet

Norge er nemlig blant landene i verden med høyest grad av validering av DNSSEC, samt også en av de høyeste andelene signerte domener, forklarer Norid-sjefen.

– Det betyr at dersom våre internettleverandører ikke er rede kan det få ganske store konsekvenser, fordi de har tatt teknologien i bruk i så stor grad, sier hun.

Dagsferske tall viser at 55,4 prosent av alle norske domener er sikret med DNSSEC. Dette er en svært høy andel i europeisk sammenheng. I tillegg valideres rundt 76 prosent av domeneoppslag i Norge, noe som er helt i toppsjiktet internasjonalt.

Anslagsvis 6 til 8 prosent av nettverksoperatørene globalt er uforberedt på den varslede nøkkelrulleringen. Vi har ikke egne tall for Norge. En overgang nå ville ha hindret DNS-spørringene for mer enn 60 millioner sluttbrukere på verdensbasis, ifølge Bleeping Computer. Berørte kunder ville i praksis ha blitt avskåret fra internett.

– Dersom noen slår opp et domenenavn og det er signert, hvilket gjelder mange norske domener, så vil en resolver som validerer se at signaturen ser riktig ut. Men uten korrekt nøkkel fra ICANN vil de tro det er noe galt med nettstedet, eller de vil ikke la deg sende epost til domenet. For utenomverden vil det fremstå som om nettstedet slutter å virke, selv om det er korrekt signert og alt er på plass, dersom man ikke forholder seg til at den øverste (rotnivået) nøkkelen som er riktig, sier Hilde Thunem.

Hun legger til:

– Den høye andelen DNSSEC-sikrede norske domener betyr at det er svært mange domeneoppslag som resulterer i signerte svar. For at dette skal sikre den enkelte bruker, må imidlertid maskinen som henter svaret på domeneoppslaget, sjekke (validere) det slik at svar med falske eller mangelfulle signaturer forkastes. Dette gjøres av spesielle maskiner - rekursive resolvere - som ofte drives av internettleverandører, hostingleverandører og tjenesteansvarlige i bedriftsinterne nett.

Det ville ha vært uansvarlig ikke å utsette

Det kan være mange ulike årsaker til at operatører ikke har installert de nye kryptonøklene. Enkelte har ikke konfigurert klientprogramvaren («resolver») riktig. Det er også nylig oppdaget feil på en mye brukt programvare, som ser ut til ikke å oppdatere nøkkelen slik den skal, opplyser ICANN i en kunngjøring om utsettelsen.

– Det ville ha vært uansvarlig å ikke utsette overgangen med de nye forholdene som er påvist. Det kunne ha negativt påvirket overgangen og et betydelig antall sluttbrukere, uttaler ICANN-president, svenske Göran Marby (53).

Programvareutviklere- og distributører som inkluderer rotsone-KSK-en i kode eller konfigurasjonsfiler er blant de som må forholde seg til de varslede endringene. Det samme gjelder alle som drifter DNS-klienter med støtte for DNSSEC (DNS Security Extentions).

I skrivende stund er det uvisst når en ny dato for utskiftningen av rotnivånøklene kan bli satt. ICANN opplyser at de håper på første kvartal 2018.

Nyhet! 50% mer innhold i Digi Ekstra til lavere pris!

Få 700,- i rabatt

Bestill innen 1. september

Kommentarer (13)

Kommentarer (13)
Til toppen