Att administrera nycklar för att signera sin domän med DNNSEC har tidigare varit onödigt krångligt. Funktionaliteten CDS/CDNSKEY, som nu är implementerad i .se- och .nu-zonerna, gör den processen automatisk och mycket enklare för användaren.

DNSSEC-signering används i dag av nära hälften av alla domäner i .se- och .nu-zonerna. Men det skulle kunna vara ännu fler. Ett problem som bromsar tillväxten för DNSSEC är att det är onödigt komplicerat för många användare att administrera och publicera signeringsnycklar.

För att förenkla hanteringen erbjuder Internetstiftelsen automatiserad administration av nycklar via så kallade CDS-poster. Tekniken låter innehavaren av en .se- eller .nu-domän automatisera uppdateringar av DNSSEC-konfigurationen, till exempel vid byte av signeringsnycklar eller byte av registrar.

Genväg för att slippa uppdatera två zonfiler

DNSSEC-konfigurationen för en domän example.se är uppdelad på två zonfiler som hanteras av olika operatörer. I barnzonen, dvs zonfilen för example.se, finns de signerade DNS-posterna samt en eller flera DNSKEY-poster med de publika signeringsnycklarna. I föräldrazonen .se finns DS-poster (Delegation Signer) som också är signerade och som pekar ut DNSKEY-posterna i barnzonen.

När en innehavare vill göra ändringar i sin DNSSEC-konfiguration, till exempel byta signeringsnycklar, behöver registraren eller DNS-operatören därför uppdatera inte bara den egna zonfilen utan också föräldrazonen. En registrar har den behörighet och de verktyg som krävs för att uppdatera .se/.nu-zonen, men för fristående DNS-operatörer har detta varit ett problem. De har ofta varit hänvisade till att åtminstone delvis göra detta manuellt, där misstag och skrivfel kan göra att ändringen inte genomförs och kan till och med skapa problem med zonen.

Internetstiftelsen introducerar stöd för en ny typ av DNS-post, CDS (Child DS), som ska användas i barnzonen. Förutom vid nyckelbyte kan CDS användas för att aktivera DNSSEC för en osignerad domän, eller deaktivera det för en signerad domän.

Samtliga domäner söks igenom dagligen

En DNS-operatör som vill uppdatera en DS-post i .se/.nu publicerar motsvarande CDS-post i barnzonen. Internetstiftelsen söker igenom samtliga .se- och .nu-domäner efter CDS-poster en gång per dygn, från tre olika utsiktspunkter, och resultaten jämförs – bara de poster som hittats i alla tre sökningarna räknas som en träff.

Vad som händer sedan beror på om domänen är signerad med DNSSEC eller inte. För en signerad domän påbörjas förändringen omedelbart. I annat fall, när det handlar om att aktivera DNSSEC för en hittills osignerad domän, krävs att det blir träff på samma CDS-post ytterligare två dagar, alltså totalt tre dagar i följd. Först därefter genomförs ändringen.

Mer om hur genomsökningen går till och exakt vilka krav som ställs på en CDS-post finns att läsa i dokumentet CDS Policy and Guidelines.