Automatiserad DNSSEC

Att administrera nycklar för att signera sin domän med DNNSEC har tidigare varit onödigt krångligt. Funktionaliteten CDS/CDNSKEY, som nu är implementerad i .se- och .nu-zonerna, gör den processen automatisk och mycket enklare för användaren.

En man sitter vid en dator med ett mindre tangentbord på varje sida och jobbar med DNS

DNSSEC-signering används i dag av nära hälften av alla domäner i .se- och .nu-zonerna. Men det skulle kunna vara ännu fler. Ett problem som bromsar tillväxten för DNSSEC är att det är onödigt komplicerat för många användare att administrera och publicera signeringsnycklar.

För att förenkla hanteringen erbjuder Internetstiftelsen automatiserad administration av nycklar via så kallade CDS-poster. Tekniken låter innehavaren av en .se- eller .nu-domän automatisera uppdateringar av DNSSEC-konfigurationen, till exempel vid byte av signeringsnycklar eller byte av registrar.

Genväg för att slippa uppdatera två zonfiler

DNSSEC-konfigurationen för en domän example.se är uppdelad på två zonfiler som hanteras av olika operatörer. I barnzonen, dvs zonfilen för example.se, finns de signerade DNS-posterna samt en eller flera DNSKEY-poster med de publika signeringsnycklarna. I föräldrazonen .se finns DS-poster (Delegation Signer) som också är signerade och som pekar ut DNSKEY-posterna.

När en innehavare vill göra ändringar i sin DNSSEC-konfiguration, till exempel byta signeringsnycklar, behöver registraren eller DNS-operatören därför uppdatera inte bara den egna zonfilen utan också föräldrazonen. En registrar har den behörighet och de verktyg som krävs för att uppdatera .se/.nu-zonen, men för fristående DNS-operatörer har detta varit ett problem. De har ofta varit hänvisade till att åtminstone delvis göra detta manuellt, där misstag och skrivfel kan göra att ändringen inte genomförs.

Internetstiftelsen introducerar stöd för en ny typ av DNS-post, CDS (Child DS), som ska användas i barnzonen. Förutom vid nyckelbyte kan CDS användas för att aktivera DNSSEC för en osignerad domän, eller deaktivera det för en signerad domän.

Samtliga domäner söks igenom dagligen

En DNS-operatör som vill uppdatera en DS-post i .se/.nu publicerar motsvarande CDS-post i barnzonen. Internetstiftelsen söker igenom samtliga .se- och .nu-domäner efter CDS-poster en gång per dygn, från tre olika utsiktspunkter, och resultaten jämförs – bara de poster som hittats i alla tre sökningarna räknas som en träff.

Vad som händer sedan beror på om domänen är signerad med DNSSEC eller inte. För en signerad domän genomförs förändringen omedelbart. I annat fall, när det handlar om att aktivera DNSSEC för en hittills osignerad domän, krävs att det blir träff på samma CDS-post ytterligare två dagar, alltså totalt tre dagar i följd. Först därefter genomförs ändringen.

Mer om hur genomsökningen går till och exakt vilka krav som ställs på en CDS-post finns att läsa i dokumentet ”CDS Policy and Guidelines”.

Mer information om CDNS/CDNSKEY

Länk till Policy and Guidelines

Länkar till standarddokumenten RFC 7344 & RFC 8078

Läs mer om DNSSEC