DNSSEC w NASK (FAQ)

Jak przebiega uwierzytelnianie danych w DNSSEC?

Proces uwierzytelniania informacji otrzymanych protokołem DNS opiera się o tzw. ,,łańcuch zaufania", co wymaga poprawnego podpisania poszczególnych poziomów stref domen zgodnie z hierarchiczną strukturą DNS. Oznacza to, że aby zabezpieczyć nazwę domeny, należy podpisać strefę tej domeny i wprowadzić specjalny kryptograficzny skrót z części publicznej klucza podpisującego strefę (rekord DS, z ang. delegation signer), do strefy domeny nadrzędnej w hierarchii DNS, w której domena podlegająca zabezpieczeniu została zarejestrowana. Tu z kolei wspomniany skrót powinien zostać podpisany kluczem prywatnym, a jego skrót przekazany w analogiczny sposób do strefy nadrzędnej. Taki łańcuch budowany jest aż do strefy Root (najwyższy poziom w hierarchii DNS), gdzie znajduje się klucz określany jako ,,Trust Anchor", który powszechnie uznaje się za zaufany.

Jak korzystać z usługi DNSSEC w NASK?

Abonent nazwy zarejestrowanej w domenie „.pl” może ją zabezpieczyć poprzez podpisanie jej za pomocą kluczy DNSSEC i umieszczenie w strefie nadrzędnej kryptograficznego skrótu w postaci rekordu DS (ang. Delegation Signer) z części publicznej klucza podpisującego.

Jeżeli jesteś abonentem nazwy zarejestrowanej w domenie „.gov.pl” i chcesz zabezpieczyć swoją domenę protokołem DNSSEC, złóż stosowną dyspozycję za pomocą wniosku o zmianę delegacji.

Abonenci pozostałych nazw zarejestrowanych w domenie „.pl”, pytania o możliwość zabezpieczenia domeny protokołem DNSSEC powinni kierować bezpośrednio do swojego rejestratora.

Użytkownik końcowy, który chce korzystać z DNSSEC, ma możliwość skorzystania z darmowych rozwiązań dla przeglądarek internetowych (tzw. wtyczek), które korzystają z rozszerzenia DNSSEC i ostrzegają użytkownika o potencjalnych zagrożeniach.

Jak zmienić delegację domeny zabezpieczonej DNSSEC?

Zmiana delegacji domeny „.pl” zabezpieczonej DNSSEC jest zgłaszana NASK identycznie jak zmiana delegacji niezabezpieczonej domeny „.pl”.

Jeżeli jesteś abonentem nazwy zarejestrowanej w domenie „.gov.pl” zabezpieczonej DNSSEC i chcesz zmienić delegację, złóż stosowną dyspozycję za pomocą wniosku o zmianę delegacji.

Abonenci pozostałych nazw zarejestrowanych w domenie „.pl”, pytania o procedurę zmiany delegacji powinni kierować bezpośrednio do swojego rejestratora.

W przypadku zmiany delegacji domeny zabezpieczonej DNSSEC należy zachować szczególną ostrożność, aby w wyniku błędu nie doszło do przerwania łańcucha zaufania.

Na co należy zwrócić uwagę przy zmianie delegacji domeny zabezpieczonej DNSSEC?

Nieumiejętna konfiguracja strefy podczas zmiany delegacji nazwy domeny .pl zabezpieczonej DNSSEC może wiązać się z przerwaniem łańcucha zaufania, co skutkuje błędami podczas walidowania strefy. Efektem tych błędów jest brak możliwości uzyskania adresu IP na zapytanie DNS.

Warto pamiętać, że:

  • zmiana delegacji domeny nie może zakłócić procesu ustalania łańcucha zaufania,
  • błędy w walidacji są groźniejsze niż brak możliwości samej walidacji, jeżeli istnieje opcja wyboru mniejszego zła, preferowane jest użycie niezabezpieczonej strefy, ale i taki wybór należy ograniczyć do koniecznego minimum,
  • krytyczny materiał w postaci części prywatnych kluczy podpisujących dane w strefie nigdy nie jest wymieniany między opiekunami technicznymi,
  • nie umieszcza się "obcych" rekordów RRSIG w zarządzanej strefie,
  • interakcja pomiędzy Rejestrem, rejestratorem, opiekunem technicznym oraz abonentem powinna być ograniczona do minimum,
  • jeżeli nie da się uniknąć interakcji, to nowy opiekun techniczny powinien wziąć na swoje barki ciężar przeprowadzenia procesu zmiany delegacji, odciążając obecnego opiekuna technicznego, który traci kontrolę nad obsługą domeny,
  • pomijając mechanizmy DNSSEC, sam proces zmiany delegacji powinien wyglądać dokładnie tak samo jak przy nazwie domenie .pl niezabezpieczonej DNSSEC.

Należy przyjąć następujące założenia:

  • brak możliwości bezpośredniej komunikacji między obecnym i nowym opiekunem technicznym domeny,
  • istnieje możliwość włączenia obcych rekordów DNSKEY do strefy w celu osiągnięcia nieprzerwanej walidacji łańcucha zaufania wzdłuż rekordów DS/KSK/ZSK, zarówno u obecnego jak u przyszłego opiekuna technicznego, łącznie z możliwością podpisania tychże rekordów DNSKEY,
  • obaj opiekunowie techniczni, obecny i przyszły, wspierają ten sam algorytm szyfrowania,
  • w strefie istnieje rozdział między kluczami ZSK i KSK.

Etapy zmiany (uwzględniają trzy zmiany w rejestrze domeny .pl):

  1. W momencie rozpoczęcia zmiany rekord DS w strefie nadrzędnej wskazuje na klucz KSK znajdujący się w strefie u opiekuna technicznego, od którego przenoszona jest nazwa domeny .pl.
  2. Nowy opiekun techniczny poprzez mechanizmy DNS pobiera z przejmowanej strefy rekord ZSK (od obecnego opiekuna technicznego). Weryfikuje jego poprawność przy pomocy mechanizmów DNSSEC, a następnie dodaje go do rekordów DNSKEY znajdujących się na jego serwerach i podpisuje nowy zestaw rekordów DNSKEY przy pomocy swoich kluczy KSK i ZSK. Na tym etapie nowa infrastruktura nie jest jeszcze gotowa na przyjmowanie zapytań DNS, ale dzięki temu zabiegowi możliwa stała się walidacja starych rekordów RRSIG przy pomocy nowych kluczy KSK i ZSK.
  3. Obecny opiekun techniczny otrzymuje od abonenta nowy rekord DNSKEY zawierający klucz ZSK i umieszcza go w swojej strefie. Podpisuje ten nowy zestaw rekordów swoimi kluczami KSK i ZSK.
    Na tym etapie możliwa jest walidacja nowych rekordów RRSIG przy pomocy starych kluczy KSK i ZSK.
  4. Rejestrator, na zlecenie abonenta, dokonuje zmiany delegacji nazwy domeny .pl poprzez dodanie do niej nowego rekordu DS wskazującego na nowy klucz KSK (pierwsza zmiana w rejestrze domeny .pl).
    Na tym etapie, po czasie określonym przez TTL starego ZSK, resolvery nie będą posiadać w swojej pamięci zestawu rekordów DNSKEY lub będą posiadać zestaw rekordów DNSKEY podpisany starym kluczem KSK, ale zawierający już nowy klucz ZSK.
  5. Jeżeli w pamięci resolverów znajduje się zestaw rekordów DS zawierający skrót do nowego klucza KSK (tzn. stary zestaw rekordów DS wygasł) można zmienić delegację domeny i wskazać w niej serwery nowego opiekuna technicznego (druga zmiana w rejestrze domeny .pl).
    Po tym kroku strefa nadrzędna będzie zawierać delegację na nowe serwery oraz dwa rekordy DS wskazujące na stary i nowy KSK. Dzięki dwóm rekordom DS możliwe jest weryfikowanie obu zestawów DNSKEY.
  6. Jeżeli wszystkie zestawy rekordów DNSKEY zawierające stary KSK wygasły (resolver DNS poprzedniego opiekuna technicznego nie powinien już odpowiadać na zapytania DNS), rejestrator, na zlecenie abonenta, dokonuje zmiany delegacji domeny, usuwając stary rekord DS (trzecia zmiana w rejestrze domeny .pl).
    Minimalny czas, jaki trzeba odczekać przed wykonaniem ostatniego kroku to suma czasów:
    • czas TTL zestawu rekordów NS znajdujących się w strefie nadrzędnej,
    • czas TTL zestawu rekordów NS zwracanych przez autorytatywny serwer,
    • czas TTL zestawu rekordów DNSKEY ze starej strefy.

Jeżeli abonent nie ma kontaktu z obecnym opiekunem technicznym domeny lub odmawia on umieszczenia nowego rekordu DNSKEY w strefie, należy przed zmianą delegacji odpisać strefę poprzez usunięcie rekordu DS ze strefy nadrzędnej, zmienić delegację, wykonać wymianę kluczy na nowe i ponownie umieścić rekord DS w strefie nadrzędnej.

Jak przeprowadzić bezpieczny transfer obsługi domeny zabezpieczonej DNSSEC?

Procedura transferu obsługi domeny jest taka sama, jak domeny niezabezpieczonej. Pytania o procedurę transferuj kieruj bezpośrednio do rejestratora, do którego chcesz przenieść obsługę domeny. Przed rozpoczęciem procedury transferu upewnij się, że wybrany rejestrator oferuje przekazywanie rekordów DS do NASK.

Co zrobić, gdy nasze klucze prywatne zostaną skompromitowane?

W sytuacji podejrzenia kompromitacji (tj. ujawnienia) kluczy, upewnij się czy infrastruktura jest bezpieczna, a następnie wykonaj procedurę wymiany kluczy z dodatkową opcją unieważnienia starych (skompromitowanych) kluczy poprzez ustawienie bitu "Revoke" na rekordach DNSKEY.

Z jakimi dokumentami warto się zapoznać?

DNSSEC Polityka i zasady postępowania – dokument ten opisuje procedury i zasady stosowane w rejestrze domeny .pl zabezpieczonej DNSSEC. Dokument odnosi się do stref administrowanych przez NASK. Pełna lista stref administrowanych przez NASK dostępna jest na stronie http://www.dns.pl.

Jakie wartości rekordów DS przyjmuje NASK?

NASK przyjmuje rekordy DS o następujących wartościach typu algorytmu i funkcji skrótu: