Root KSK Rollover dan toch op 11 oktober

08.10.2018
Een belangrijke beveiligingsupdate van het DNS staat gepland voor 11 oktober. In principe zal de gewone gebruiker er niet veel van merken. Maar wat is het juist?

DNS Root Zone en KSK-sleutels

Om met het begin te beginnen: alles draait rond het Domain Name System of DNS. Dat kan je het best vergelijken met een enorme tabel, waarin de domeinnamen gekoppeld worden aan de IP-adressen van de servers waarop de websites waarnaar zij verwijzen, fysiek gehost worden. Super handig, want zo moet jij niet het IP-adres onthouden van een website, maar kan je gewoon de domeinnaam intikken. Extra handig trouwens sinds de invoering van het nieuwe IPv6-protocol, dat uit maar liefst 128 bits bestaat en een vorm heeft zoals 2001:db8:0:1234:0:567:8:1. Niet gemakkelijk te onthouden, toch?

De DNS root zone is dus erg belangrijk. Om te voorkomen dat er met DNS-data geknoeid wordt wanneer die zich over het netwerk begeeft, werd er een tiental jaren geleden een speciale extensie ontwikkeld: DNSSEC (Domain Name System Security Extensions). 
 
Die moet verhinderen dat iemand bijvoorbeeld het verkeer naar uwbank.be zou kunnen onderscheppen, en alle verkeer omleidt om zo frauduleuze handelingen met uw bankrekening te verrichten. 
 
Bij DNSSEC wordt gewerkt met een beveiliging die uit twee sleutels bestaat: Zone Signing Keys (ZSK) en Key Signing Keys (KSK). Waar de ZSK-sleutel om de drie maanden wijzigt, dateert de KSK-sleutel reeds van 2010. Die was dus dringend aan een update toe. Die update staat gepland voor 11 oktober 2018 en wordt de KSK Rollover genoemd.

 

DNS Resolvers en DNSSSEC

Aan de ene kant heb je dus de DNS root zone, maar aan de andere kant staan de 'resolvers', de client side van DNS die op de servers bij bijvoorbeeld providers zoals Telenet en Proximus staan. Zij gaan de domeinnaam in de DNS-database opzoeken en omzetten in het bijhorende IP-adres. 
 
Validerende DNS-resolvers controleren bovendien de DNSSEC-handtekening, indien voor de domeinnaam DNSSEC geactiveerd werd. En als een handtekening niet gevalideerd wordt, dan wordt dit gezien als een aanwijzing voor een veiligheidsprobleem, en stuurt de validerende resolver een foutmelding naar de client.

 
Het valideren bij de resolvers geschiedt op basis van zogenaamde 'trust anchors', kopieën van de sleutels die overeenkomen met de KSK- sleutel in de root-zone. Zij worden meestal automatisch ingesteld door de makers van de resolver-software (wat een nieuwe versie vereist) of automatisch als de resolver software RFC5011 geïmplementeerd heeft. Als laatste optie kan deze ook manueel aangepast worden.
 
En dat is wat ondertussen gebeurd is bij heel veel validerende resolvers: toen aangekondigd werd dat de KSK 2017 de KSK 2010 zou gaan vervangen, voerden de betrokken providers een update uit via  RFC 5011, of ontvingen zij een automatische update van hun software maker.

De KSK Rollover

Alles is dus in principe in gereedheid gebracht voor deze enorm belangrijke operatie, die eigenlijk volledig achter de schermen zal verlopen. Oorspronkelijk was deze operatie gepland voor 11 oktober 2017, maar omdat gevreesd werd dat onvoldoende betrokkenen hun trust anchors aangepast hadden, werd de operatie exact een jaar uitgesteld.  Een recent ingevoerde optie van het DNS-protocol bood maakte het toen namelijk mogelijk dat een resolver aan de root servers zou vertellen welke sleutels er geconfigureerd zijn. En op dat moment bleken er onvoldoende trust anchors correct ingesteld te zijn. 
 
Er is hard gewerkt om de impact van het probleem te verminderen. Daarom heeft ICANN beslist om, op basis van de huidige gegevens en geschatte iimpact, de rollover toch te laten doorgaan. Op 11 oktober 2018 om 18u Belgische tijd zal dus de overschakeling gebeuren. Gedurende 48u zullen zowel de oude als de nieuwe sleutel naast elkaar werken. En daarna werkt enkel de KSK 2017 sleutel nog.
 
In principe zal de eindgebruiker hiervan niets merken. De grote Belgische providers werken niet met DNSSEC validatie, zodat deze rollover geen verschil maakt voor hun gebruikers. Het zijn echter vooral gebruikers van bedrijven die werken met een eigen nameservers die hiervan eventueel een weerslag zouden kunnen ondervinden. Voert die nameserver een DNSSEC validatie uit, en werden de trust anchors niet aangepast, dan zullen hun gebruikers geen enkele website kunnen bezoeken die een DNSSEC domeinnaam gebruikt - of het nu een .be of .com is. Voor hen is het nu dus vijf voor twaalf!
 
 
 

ICANN

Internet Corporation for Assigned Names and Numbers, een vzw die wereldwijd verantwoordelijk is voor het beheer van domeinnamen.

server

Een programma of computer die diensten verleent aan andere computerprogramma’s en hun gebruikers.

Domeinnaam

een uniek adres voor een website. Een domeinnaam staat eigenlijk voor een IP-adres (reeks cijfers). Omdat cijferreeksen moeilijk te onthouden zijn, worden ze omgezet in domeinnamen . Een domeinnaam bestaat uit minstens twee gedeeltes, gescheiden door een punt.

DNS

Domain Name System (Domein Naam Systeem) of Domain name server. Het wereldwijde DNS is het protocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen en omgekeerd.

DNSSEC

(Domain Name System Security Extensions) is een beveiligingsuitbreiding op het DNS: het is bedoeld om te voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites.
Veiligheid