DNSSEC: Najavljena promjena ključa za root zonu

Internet Corporation for Assigned Names and Numbers (ICANN) podsjeća organizacije da namjeravaju da promjene ključ za potpisivanje u root zoni za DNSSEC (Domain Name System Security Extensions) protokol. Ukoliko organizacije ne primjene nova podešavanja mogle bi ostati bez pristupa internetu. Ova promjena nema uticaja na organizacije koje ne koriste DNSSEC i aplikacije koje automatski vrše ažuriranje KSK-a.

DNS je protokol koji prevodi domene u IP adrese. Prilikom dizajna protokola, koji je u upotrebi od osamdesetih godina prošlog vijeka, fokus nije bio na bezbjednosti već funkcionalnosti protokola. Kako bi se korisnici zaštitili od preusmjeravanja na maliciozne stranice korišćenjem tzv. DNS spoofing napada 2010. godine je objavljeno proširenje protokola DNSSEC.

DNSSEC koristi kriptografski potpisane DNS informacije. Ako se koristi DNSSEC tzv. root zona garantuje vjerodostojnost javnog ključa .com zone ili bilo koje druge TLD (Top level domain) zone, .com zona dalje garantuje za ključeve svih .com domena itd.

Pošto ne postoji zona iznad root zone koja bi mogla garantovati vjerodostojnost ključa, root zone se proglašava tzv. trust anchor-om.

Ključ trush anchor-a se naziva ključ za potpisivanje ključeva (KSK – key signing key) i potreban je svim DNSSEC serverima prilikom validacije.

Pošto se korišćenje istog kriptografskog ključa, zbog mogućnosti kompromitovanja, smatra lošom praksom ICANN planira da periodično mijenja KSK. Promjena je najavljena za 11.10.2017. godine i do tog datuma svi DNSSEC serveri moraju biti konfigurisani sa novim KSK-om. Od početka sljedeće godine stari ključ će biti povučen iz upotrebe.

ICANN procijenjuje da oko 750 miliona ljudi širom svijeta koristi DNSSEC. ISC(Internet System Consortium) proizvođač BIND-a, jednog od najčešće korišćenih softvera za DNS objavio je instrukcije kako ručno promijeniti KSK na njihovom softveru. Više informacije možete pronaći ovdje.

 

Izvor:www.securityweek.com