DNSSEC: müüt või tegelikkus? Osa neli: pigem tegelikkus
Antud blogipostitus on 122 kuud vana ning ei pruugi olla enam ajakohane.
Jõulude ajal pole päkapikud mitte istunud jõude, vaid on DNS juurtsooni (.) sokutanud Eesti tippdomeeni DS kirje. Selle abil ongi nüüd loodud DNSSEC tehnoloogial põhinev usalduslik suhe meie tippdomeeni ja ülejäänud maailma vahel. Seega on õige aeg rääkida ka sellest, millised on Zone edasised plaanid turvalise DNS-i toetamisel.
Ametlikult käivitub Eesti tippdomeeni DNSSEC tugi 6. jaanuaril, sest sellest päevast hakkab kehtima domeenireeglistik, mis tunnustab DNSSEC-i olemasolu.
Mulle on jäänud mulje, et Eesti Interneti SA ja Riigi Infosüsteemide Amet on kaine mõistuse häält kuulnud ja tohutult suurt trummi tol päeval paugutama ei hakka. Mis on väga õige, sest DNSSEC on teema, mida peab võtma rahulikult ja revolutsioonilise rapsimise asemel tuleb ühtlases tempos liikuda parima võimaliku lõpptulemuseni.
Zone registripidajateenuse klientidel, kes haldavad ise oma DNS-i ja soovivad DNSSEC-i testida või kasutusele võtta, on 6. jaanuarist võimalik esitada Zone kaudu avaldus DS kirje sisestamiseks Eesti tippdomeeni registrisse.
(Esimeste reaalsete DNSSEC kasutajatena näeme esialgu riigiasutusi, panku jms organisatsioone, kes on DNSSEC-i juba varem reaalselt kasutanud või avalikult testinud.)
Selle teenuse kasutamiseks tekib Zone domeenide haldusesse uus DNSSEC kirje edastamise veebivorm. Turvalisuse huvides nõuab vorm DNSSEC kirje edastajalt selle digitaalset allkirjastamist Eesti ID-kaardi abil. Ühtlasi tuleb esitada digiallkirjastatud volikiri esindatavalt isikult. Peale allkirja ja volikirja kehtivuse kontrollimist edastab Zone võtme Eesti Interneti SA poolt hallatavasse tippdomeeni registrisse, kus see lõpuks sisestatakse tippdomeeni tsoonifaili. DNSSEC võtme edastamise eest tippdomeeni registrisse Zone eraldi raha ei küsi.
6. jaanuarist hakkame ühtlasi sisemiselt testima Zone taristu võimekust pakkuda DNSSEC tuge meie enda DNS servereid kasutavatele klientidele ja koolitama oma klienditeenindust. Kavatseme ka (mõneti alatult) oodata ära ühendusepakkujate ja katsejäneste esimesed DNSSEC alased kalad, et neist õppida. Misjärel on meil ühel hetkel plaanis DNSSEC tugi lisada kõikidele oma serveri- ja domeeniteenustega seotud DNS tsoonidele. Esialgu ilmselt nö “opt-in”põhimõttel, mis kogemuse tekkimisel asendub “opt-out” põhimõttega.
Soovitan DNSSEC teemal lugeda ka minu varasemaid kirjutisi:
https://www.zone.ee/blogi/2013/10/25/dnssec-osa2-eesmargid/
https://www.zone.ee/blogi/2013/11/09/dnssec-muut-voi-tegelikkus-osa-kolm-probleemid/
P.S.
Ei usu?
Vaata ise:
dig ds ee @j.root-servers.net.
; <> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <> ds ee @j.root-servers.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53826
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ee. IN DS
;; ANSWER SECTION:
ee. 86400 IN DS 34382 8 2 000A3D89DC6CD4BA00EA8AFFEE3967D3A26DE7A545FBEFE16BA07518 FC8D54F6
;; Query time: 134 msec
;; SERVER: 2001:503:c27::2:30#53(2001:503:c27::2:30)
;; WHEN: Thu Dec 26 15:04:02 2013
;; MSG SIZE rcvd: 68