Kořenová zóna byla podepsána v polovině roku 2010, tedy před sedmi lety. Příslušné standardy hovoří o tom, že by se klíče měly měnit nejpozději jednou za pět let. Zatím k tomu ale ještě nikdy nedošlo a od roku 2010 používáme stále stejný klíč. Letos ale změna poprvé proběhne, je znám konkrétní harmonogram a plán celé akce.
Důležitým dokumentem je tu Root Zone KSK Rollover Plan [PDF], jehož spoluautorem je i Ondřej Surý z CZ.NIC. Tento dokument popisuje současný stav DNSSEC a doporučuje kroky potřebné k bezpečné výměně klíče, která nesmí selhat a nesmí nic rozbít. Jde o velmi delikátní proces, při jehož selhání by přestal velké části uživatelů fungovat systém DNS.
DNSSEC je totiž rozšířením DNS, které umožňuje k jednotlivým záznamům přidávat elektronický podpis. Aby mohl uživatel (respektive jeho DNS resolver) ověřit původ klíčů použitých k podpisu, je otisk veřejného klíče zveřejněn v nadřazené zóně. Příklad: Všechny záznamy v zóně root.cz jsou podepsány klíčem, jehož otisk vám potvrdí CZ.NIC v zóně .cz. Jeho odpovědi jsou opět podepsány a otisk dalšího klíče je tentokrát umístěn v kořenové zóně.
V kořenové zóně vše začíná, protože nad ní už nic není. Musí proto existovat pevný bod důvěry, od kterého se odvíjí zbytek nepřerušitelného řetězce. Tímto bodem je právě kořenový klíč, který se k podepisování záznamů v kořenové zóně používá a který se bude letos měnit. Další detaily naleznete v našem seriálu DNSSEC a bezpečné DNS.
Klíč je už vygenerovaný
Samotný nový klíč už byl vygenerován v únoru letošního roku a můžete jej digitálně podepsaný bezpečně získat ze serverů IANA. Na doporučení výše zmíněného dokumentu se při generování nového klíče nijak neměnily jeho parametry, stále jde o 2048bitový klíč pro algoritmus RSA/SHA-256.
Nyní je na čase, aby správci rekurzivních DNS serverů (tedy těch, které hledají a ověřují odpovědi pro koncové uživatele) zkontrolovali správnou konfiguraci. Existuje mechanismus pro automatickou rotaci klíčů, takže pokud jsou splněny konkrétní podmínky, server si nového klíče vystaveného v kořenové zóně všimne a sám jej ověří a uloží. Typickým požadavkem je, aby měl DNS resolver právo zápisu do úložiště, kde se klíče nacházejí. Pokud tam právo zápisu nemá, nemůže aktualizovat seznam platných klíčů.
Poznámka: Věnujte chvíli času kontrole nastavení svého serveru. Za pět let pak nebudete muset řešit stejný problém, ale k aktualizaci dalšího klíče už dojde automaticky.
Nový klíč poznáte podle toho, že jeho Key Tag je 20326. DS záznam tedy bude vypadat takto:
. IN DS 20326 8 2 E06D44B80B8F1D39A95C0B0D7C65D08458E880409BBC683457104237C7F8EC8D
Samotný klíč pak bude mít tuto podobu:
. IN DNSKEY 257 3 8 AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN R1AkUTV74bU=
Pokud chcete klíče získat a ověřit ručně, můžete k tomu využít utilitu get-trust-anchor, která je napsaná v Pythonu a sama provede potřebné kroky k bezpečnému získání platných klíčů.
V tuto chvíli ještě klíče nejsou propagovány v DNS, takže k jejich aktualizaci ještě nemůže dojít. Důležité ale je, že by si správci měli pohlídat, že do 11. října 2017 bude resolver znát nový klíč. Pokud tomu tak nebude, pro uživatele se budou všechny domény tvářit jako neexistující a z jejich hlediska „přestane fungovat internet“.
Další kroky
Zveřejnění nového klíče je naplánováno na 11. července 2017. Od té chvíle budou moci DNS rekurzory automaticky klíč ověřit a uložit si jej mezi důvěryhodné. Ještě ale nebude použit pro podpis žádných záznamů. Bude pouze vystaven v zóně a podepsán starým klíčem kvůli ověření. Poté poběží 30denní ochranná lhůta, po které jej rekurzory uznají za důvěryhodný (trust anchor).
Pro skutečné podepisování záznamů bude nový klíč nasazen od 11. října, kdy se v kořenové zóně objeví nové podpisy. Kvůli velikosti odpovědi neproběhne žádné přechodné období, po které by byly dostupné podpisy vytvořené oběma klíči. V říjnu tedy proběhne změna střihem a v jeden okamžik budou staré podpisy nahrazeny novými. V tu chvíli už musí rekurzor nové klíče znát a věřit jim. Pak pro něj budou podpisy platné a vše proběhne pro uživatele nepozorovaně.
Posledním krokem pak bude revokace starého klíče, která je naplánovaná na 11. ledna 2018. Později bude klíč zcela odstraněn z infrastruktury a zmizí v propadlišti dějin.
Poznámky pro správce konkrétních resolverů
Pokud spravujete DNSSEC validující resolver, budou se vám hodit poznámky pro jednotlivé implementace. Pokud používáte starší verzi BIND (před 9.7), která ještě neumí automaticky spravovat klíče, nyní je čas na aktualizaci.
Následujte odkazy:
- BIND
- Unbound [PDF]
- PowerDNS
- Knot Resolver
- Dnsmasq (viz 2.69)
