Rotnøkkelen som brukes av DNS-utvidelsen DNSSEC skal byttes ut for første gang. Forhåpentligvis er flere klar for dette nå enn det som var tilfellet foran det avlyste forsøket i fjor.
Rotnøkkelen som brukes av DNS-utvidelsen DNSSEC skal byttes ut for første gang. Forhåpentligvis er flere klar for dette nå enn det som var tilfellet foran det avlyste forsøket i fjor. (Bilde: Norid)

KSK Rollover

Håper på bedre lykke denne gang: Snart skal hovednøkkelen for DNS skiftes ut

Kan føre til at enkelte mister tilgangen til internett-tjenester.

Den 11. oktober i år skal det kryptografiske nøkkelparet som beskytter rotnivået av DNS (Domain Name System), etter planen skiftes ut for første gang. Det kunngjorde ICANN (Internet Corporation for Assigned Names and Numbers) allerede for noen uker siden. Nøkkelparet kalles for Root Zone Key Signing Key (KSK).

Dagens nøkkel ble tatt i bruk den 15. juli 2010 og benyttes av DNSSEC (DNS Security Extensions), en teknologi som ved hjelp av digital signering bidrar til å forhindre forfalskning av DNS-informasjon.

Les også: 60 millioner kunne ha mistet internett-tilgangen ved bytte av DNS-nøkkel

Ikke første forsøk

Selv om det er slik at nøkkelen ikke har blitt skiftet ut tidligere, er ikke dette gang en slik utskifting har vært planlagt.

Planen var at dette skulle ha skjedd den 11. oktober 2017. Men da viste det seg at et betydelig antall internettleverandører hadde sovet i timen og ikke var forberedt på nøkkelrulleringen. 

Dette førte til at utskiftingen ble utsatt.

I en kommentar til digi.no den gang, sa daglig leder for Norid, Hilde Thunem, at en slik utskifting ville ha fått store konsekvenser for norske internettleverandører dersom de ikke var forberedte, fordi så mange av dem har tatt i bruk validering av DNSSEC.

ICANN viser nå til dataanalyser hvor det går fram at mer enn 99 prosent av internett-brukerne benytter minst én DNS-server som er forberedt på utskiftingen. Disse skal ikke merke noe til endringen. De som kun benytter DNS-servere som ikke har inkludert den nye KSK-en i tillitskonfigurasjonen, vil derimot oppleve at mange DNS-oppslag feiler. Dette vil inntreffe innen 48 timer etter at utskiftingen har blitt gjennomført. 

Leste du denne? En betydelig del av DNS-spørringene globalt blir avlyttet. Utdaterte servere bidrar at sikkerhets­tiltak ikke fungerer

Kommentarer (4)

Kommentarer (4)
Til toppen