Hotovo: DNS je podepsáno

22. 7. 2010
Doba čtení: 6 minut

Sdílet

Ve čtvrtek 15. července 2010 proběhla publikace skutečného KSK klíče kořenové zóny. Tím se završil proces, který trval skoro celé dva roky. Pojďme se blíže podívat na historii celého procesu podpisu kořenové zóny. Naše vyprávění volně navazuje na předchozí článek se stručnou historií technologie DNSSEC.

Přibližně v roce 2007 začínají sílit tlaky na podepsání kořenové zóny. Pracovní skupina DNS organizace RIPE sdružující evropské ISP, poskytovatele obsahu a další internetové subjekty, se na konferenci RIPE 54 v Talinnu domlouvá, že naformuluje otevřený dopis vyzývající k podpisu kořenové zóny. Tento otevřený dopis je v červnu 2007 zaslán na ICANN a obsahuje opatrnou formulaci s žádostí o podpis kořenové zóny v realistickém termínu. Nezávisle na této výzvě spouští ICANN ten samý měsíc skrze servisní organizaci IANA testovací provoz podpisu kořenové zóny. Tento testovací provoz je v tuto chvíli stále v provozu, nicméně je nutné podotknout, že se skutečným podpisem kořenové zóny toho nyní má jen velmi málo společného, a jakékoli využití kromě ukojení vlastní zvědavosti nedoporučuji.

Stejně jako boží mlýny i ICANN mele pomalu ale jistě, což je ostatně v případě této organizace dobře, a o rok později v červnu 2008 vydává dokument DNSSEC @ ICANN, ve kterém popisuje svůj záměr podepsat kořenovou zónu. Na tento krok následně navazuje Ministerstvo obchodu Spojených států amerických zastupované úřadem NTIA (National Telecommunications and Information Administration), když v říjnu 2008 publikuje žádost o komentáře k procesu podpisu kořenové zóny technologií DNSSEC. Uzávěrka komentářů byla stanovena na 24. listopadu 2008, a sešlo se jich celkem úctyhodný počet – 53 komentářů od zainteresovaných jednotlivců až po TLD včetně CZ.NICu.

Na základě návrhu procesu kořenové zóny, který společně vyhotovili ICANN a Verisign (technický správce kořenové zóny), a těchto procesů vzniká v říjnu 2009 dokument Testing and Implementation Requirements for the Initial Deployment of DNSSEC in the Authoritative Root Zone, který obsahuje mimo jiné specifikaci minimální úrovně fyzického zabezpečení, požadavek na audit celého procesu, požadavky na certifikace použitého hardware (především pak HSM – Hardware Security Module), požadavek na použití algoritmu RSASHA1 s doporučeným využitím novějších algoritmů z rodiny SHA-2 a také popis některých rolí, resp. požadavek na zdvojení některých rolí.

Vydání tohoto dokumentu se specifikací předchází konference RIPE 59 v Lisabonu, kde Matt Larson ze společnosti Verisign a Joe Abley z ICANNu ohlašují na úterním plenárním zasedání implementaci DNSSECu v kořenové zóně Status Update: Implementing DNSSEC at the Root (video). Toto ohlášení bylo uvítáno bouřlivým potleskem, který je bohužel na videu zkrácen. O dva dny později v rámci pracovní skupiny DNS má Joe Abley prezentaci nazvanou Incremental Deployment of a Signed Root, kde popisuje konkrétní kroky vedoucí k podepsání kořenové zóny. Pojďme se nyní podívat, jaký byl plán a jak nakonec proběhl.

Pro začátek je zapotřebí si ujasnit role jednotlivých aktérů procesu:

  • ICANN má v držení KSK klíče kořenové zóny. KSK klíč je určen pouze k podpisu dalších klíčů, tedy jsou jím podepsané záznamy DNSKEY – KSK i ZSK.
  • IANA stejně jako do teď bude přijímat změny v nastavení DNS serverů pro jednotlivé TLD, jedná se o změny v NS záznamech. Nově bude možné podávat i požadavky na změnu DS záznamů.
  • DoC NTIA formálně schvaluje veškeré změny v kořenové zóně a do jejích pravomocí spadne i schvalování změn v DS záznamech.
  • VeriSign jako technický správce zónového souboru bude mít v držení ZSK klíče kořenové zóny. Tímto klíčem jsou podepsány všechny ostatní záznamy v zóně.

Celý proces podpisu lze schematicky vyjádřit takto:

Od této chvíle se proces podpisu kořenové zóny začal mít konkrétní obrysy. Prvním krokem byl začátek podepisování kořenové zóny 1. prosince 2009. V tuto chvíli se jednalo pouze o interní proces mezi ICANNem a VeriSignem. Toto interní testování bylo zapotřebí, aby byly nalezeny všechny možné problémy, které by mohly nastat.

V roce 2010 celý proces pokračoval postupnou publikací tzv. DURZ zóny. Zkratka DURZ znamená Deliberately Unvalidateable Root Zone, volně přeloženo jako „naschvál nevalidovatelná kořenová zóna“. Tento krok byl zapotřebí pro otestování kompatibility s internetovým prostředím. Publikací tohoto falešného DNSSEC klíče došlo ke zvětšení odpovědí DNS zpráv ze serverů, které umí s DNSSECem pracovat, tedy posílají dotazy s nastaveným příkazem DNSSEC OK (DO bit). Klíč v DURZ kořenové zóně vypadal takto:

. 3600 IN DNSKEY 256 3 5 (\\
AwEAAa++++++++++++++++++++++++++++++\\
++THIS/KEY/AN/INVALID/KEY/AND/SHOULD\\
/NOT/BE/USED/CONTACT/ROOTSIGN/AT/ICA\\
NN/DOT/ORG/FOR/MORE/INFORMATION+++++\\
++++++++++++++++++++++++++++++++++++\\
++++++++++++++++++++++++++++++++++++\\
++++++++++++++++++++++++++++++++++++\\
++++++++++++++++++++++++++++++++++++\\
++++++++++++++++++++++++++++++++++++\\
++++++++++++++++++++++/=\\
) ; Key ID = 6477\\

Text uvnitř klíče říká, že tento klíč není validní, a nemá být používán. Mimochodem zajímavé je, že i přesto, že je v tomto klíči umístěn anglický text jedná z pohledu DNSSECu o validní RSASHA1 klíč. Podpisy v kořenové zóně (záznamy RRSIG) byly také falešné a byly vytvořeny za pomocí jiného klíče, než který byl publikován (Key ID = 41248).

Postupné nasazování na jednotlivé kořenové nameservery bylo zvoleno z toho důvodu, aby případný výpadek ovlivnil pokud možno co nejmenší skupinu uživatelů. Jako první přišel na řadu DNS server L.root-server.net, který je provozován samotným ICANNem. K publikaci DURZ podepsané zóny došlo 27. ledna 2010 a na DNS provozu se tato publikace projevila především ve velikosti UDP paketů:

Jelikož nebyly zaznamenány žádné problémy, pokračovalo se dle plánu. Dalším důležitým krokem byla publikace DURZ na kořenovém nameserveru A.root-server.net. Panovala obava, že by podepsání prvního nameserveru v pořadí mohlo způsobit problémy některým špatně implementovaným DNS klientům, kteří jej používají jako primární. Toto podepsání proběhlo v pořádku 10. února 2010 a naštěstí také nebyly zaznamenány žádné problémy.

Posuňme se rychle v čase kupředu. V březnu se nám před očima mihly servery M, I, D, K a E, v dubnu pak B, H, C, G a F. Náš virtuální stroj času se zastavil na datu 5. května 2010. Tou dobou probíhá v Praze konference RIPE 60, a je milou shodou okolností, že k publikaci DURZ podepsané zóny na posledním kořenovém nameserveru M.root-server.net dochází právě na konferenci jejímž hostitelem byl právě CZ.NIC. O den později má Dave Knight z ICANNu prezentaci Last Root Server DURzed – Did the sky fall?, kde na grafech ukazuje lehké zvýšení počtu dotazů přes TCP, ale jinak se nic podstatného nestalo.

Po publikaci DURZ podepsané zóny započala usilovná práce na finální zprávě o testovacím procesu. Tato zpráva byla vydána 28. května 2010 a obsahuje shrnutí dosavadní práce na projektu a doporučení k nasazení podpisu kořenové zóny do produkce.

K plnému nasazení podepsané kořenové zóny zbývají na začátku června tři kroky. První důležitý krok se odehrál na první KSK ceremonii, která proběhla 16. června 2010 na východním pobřeží USA v malém městečku Culpeper blízko Washingtonu, D.C.. Na této ceremonii byly inicializovány HSM moduly, vygenerován historicky první KSK klíč. Tímto klíčem byly podepsány ZSK klíče na první tři měsíce a podepsané klíče byly předány zástupci VeriSignu. Více o této KSK ceremonii se můžete dozvědět ze samostatného článku.

bitcoin_skoleni

Druhá KSK ceremonie proběhla tento týden na západním pobřeží v El Segundu, které leží blízko Los Angeles. Na této druhé KSK ceremonii byly inicializovány další dva HSM moduly a byl do nich naimportován KSK klíč vygenerovaný před měsícem v Culpeperu. Této druhé KSK ceremonie se za CZ.NIC zúčastnil Ondřej Filip a jeho reportáž si můžete přečíst v článku Proč je podpis kořenové zóny tak důležitý pro budoucnost DNS? Tímto krokem má ICANN k dispozici dvě nezávislé lokality, kde může pomocí KSK klíče podepisovat další ZSK klíče. Toto se bude dít čtyřikrát do roka a CZ.NIC bude tento důležitý proces i nadále sledovat.

Po zprovoznění obou lokalit na východním i západním pobřeží USA již nic nebránilo pokračovat v plánu a 15. července byla publikována produkční podepsaná kořenová zóna. V tuto chvíli vám již nic nebrání otevřít si na oslavu této velké události láhev dobrého sektu a nakonfigurovat vlastní resolver tak, aby validoval kořenovou zónu. Instrukce jak na to, naleznete na stránkách CZ.NICu www.dnssec.cz na stránkách ICANNu věnovaných podpisu kořenové zóny www.root-dnssec.org, kde také naleznete provozní dokumenty a jednotlivé zprávy z podpisu kořenové zóny. Pokud vás téma DNSSECu a DNS zaujalo, tak další informace také můžete najít v našem seriálu DNSSEC a bezpečné DNS nebo na blogu CZ.NICu, kde se těmto tématům dlouhodobě věnujeme.

Autor článku

Autor spojil svůj profesní život s open-source a DNS.