DNSSEC: müüt või tegelikkus? Osa 1: Hetkeseis
Antud blogipostitus on 124 kuud vana ning ei pruugi olla enam ajakohane.
See on esimene postitus seeriast, mille eesmärk on tutvustada DNSSEC hetkeseisu, tulevikku, nõrkusi ja tugevusi.
IT valdkonnas on palju vastuolulisi teemasid, mille ümber erinevad huvigrupid kärbestena tiirlevad. Tihti on teemad sedavõrd esoteerilised, et nende täpne olemus ei jõua valdavale osale ühiskonnast kunagi päris selgelt kohale. Üks selline teema on DNSSEC ehk Domain Name System Security Extensions.
DNS ehk Domain Name System on kolmkümmend aastat vana teenus, mis on tänaseni üks interneti alustalasid. Selle abil jõuavad miljardid inimesed õigete ressurssideni, kui sisestavad brauserisse mõne veebisaidi nime (nagu näiteks www.facebook.com).
Ajalooliselt on DNS toiminud usalduse baasil. Kasutaja usaldab, et internetiühenduse pakkuja server suunab ta aadressipäringu peale õiges suunas ja viimane omakorda usaldab temast kaugemale jäävaid DNS servereid.
DNSSEC eesmärk on senist usaldusel põhinevat süsteemi täiustada ja luua võimalus päringute vastuste kontrollimiseks. Kasutaja arvuti või tema ühendusepakkuja DNS server saavad DNSSEC kasutamise korral veenduda selles, et vastus pärineb õigest kohast.
Idee, millel baseerub DNSSEC, käidi välja 1990-ndate keskpaigas. Läks aga 10 aastat, enne kui standardid küpsesid ja Rootsi 2005. aastal esimese riigina maailmas DNSSEC-i vaikselt kasutusele võttis.
Kindlasti tekib siinkohal küsimus, kui DNS on 30 aastat, idee DNSSEC-ist pea 20 aastat ja standard 10 aastat vana, siis miks peaks sellest täna kirjutama?
Põhjus peitub asjaolus, et järgmisest, 2014. aastast kavatseb ka Eesti tippdomeeni register Eesti Interneti Sihtasutus (EIS) alustada DNSSEC juurutamist.
Miks on läinud nii kaua selleks, et näiliselt oluline tehnoloogia Eestis juurutamist leiaks?
Alustame sellest, et DNSSEC rahvuslike tippdomeenide tasandil juurutamiseks viisil, mis võimaldab kõigil andmete korrektsust usaldusväärselt verifitseerida, tuli esmalt krüptograafiliselt allkirjastada interneti juurtsoon. See sisaldab infot kõikide tippdomeenide kohta. Tänu huvitatud osapoolte rohkusele ja vastandlikele poliitikatele, oli see aeglane protsess, mis kulmineerus alles 2010. aastal. Alates sellest hetkest hakkas DNSSEC levik maailmas oluliselt kiirenema.
Eestis oli 2010. aastal pooleli tippdomeeni halduse täielik reformimine, millesse DNSSEC samaaegne tutvustamine oleks lisanud hulga probleeme. Arusaadavalt on alles nüüd, kus tippdomeeni reform on jäänud piisavalt kaugele selja taha, tekkinud registril ja registripidajatel piisavalt aega, raha ja kogemust selle teemaga edasi minna.
Teiseks on DNSSEC implementeerimise juures alati olnud mure kõikide osapoolte ühele joonele saamine ja klassikalise “kana ja muna” probleemi lahendamine.
Register ja registripidajad küsivad endalt, miks nad peaksid investeerima domeenide allkirjastamisesse, kui ükski sideteenuse pakkuja DNS kirjete terviklikkust ei kontrolli. Sidepakkujatel leidub aga alati muudki teha, kui üritada verifitseerida kirjeid, mida keegi allkirjastanud ei ole.
DNSSEC implementeerimine riigi mastaabis tähendab kõikidele osapooltele riistvarauuendusi, tarkvara täiendamist, sisemiste protseduuride ülevaatamist, koolitusi, teavitustööd jpm. Kuna vajalikud investeeringud on märkimisväärsed, siis keegi “igaks juhuks” midagi valmis looma ei hakanud.
Viimase aasta jooksul on siiski toimunud märkimisväärseid edasiminekuid. DNSSEC kirjete kontrolli teostamisest on teada andnud nii suurimate avalike DNS serverite haldajad nagu Google kui ka suuremad sidepakkujad nagu näiteks Ameerika Ühendriikides tegutsev Comcast.
Nagu öeldud, on Eestis härjal sarvist haaranud Eesti Interneti Sihtasutus, kes teeb aktiivselt tööd selle nimel, et DNSSEC 2014. aastal ka Eestis reaalsuseks saaks.
Järgmises postituses tahaks kirjutada DNSSEC köögipoolest ja potentsiaalist.
Lahtiütlus: Zone osaleb Eesti Interneti Sihtasutuse poolt kokku kutsutud DNSSEC Ekspertgrupis ja Registripidajate Töögrupis.