Výmena hlavného bezpečnostného kľúča Internetu prebehla bez väčších incidentov

Značky: DNSbezpečnosťInternet

DSL.sk, 15.10.2018

Štvrtková výmena hlavného bezpečnostného podpisového kľúča systému DNSSEC zabezpečujúceho koreňovú root zónu systému DNS prebehla zrejme bez väčších incidentov.

Vyplýva to zo stavu výmeny avizovaného organizáciou ICANN, podľa ktorej aj po viac ako 60 hodinách bolo zaznamenaných len veľmi málo hlásení problémov a tie boli väčšinou rýchlo opravené.

Pred výmenou organizácia avizovala, že viac ako 99% užívateľov používajúcich rekurzívne DNS servery podporujúce DNSSEC by podľa stavu týchto serverov nemalo mať po výmene problémy. Prípadné problémy by sa mali kvôli cachovaniu objaviť do 48 hodín od výmeny, ku ktorej prišlo vo štvrtok 11. októbra o 18:00 nášho času.

DNS je systémom zabezpečujúcim preklad doménových mien na IP adresy používané samotným internetovým protokolom komunikácie, IP. Pre reálnu funkčnosť Internetu je tak kľúčovým.

DNSSEC je štandardom, ktorý do pôvodne nezabezpečeného systému DNS pridal kryptografické overovanie odpovedí DNS serverov. Na Internete sa vyskytovali a stále vyskytujú útoky, ktoré pomocou falšovania odpovedí DNS rozličnými spôsobmi presmeruvávajú užívateľov namiesto skutočných serverov pre danú doménu na servery pod kontrolou útočníkov.

DNSSEC tomu zabraňuje, keď odpovede kryptograficky podpisuje. Hoci viaceré internetové protokoly a aplikácie môžu a majú nasadenú kryptografickú ochranu aj na vyšších úrovniach, DNSSEC je kľúčový pre zabezpečenie istej úrovne bezpečnosti pre protokoly nevyužívajúce vlastnú ochranu.

Podporu DNSSEC už pred približne dekádou zaviedli viaceré domény najvyššej úrovne a následne v roku 2010 bola podpora pridaná aj do root zóny DNS. Slovenská doména najvyššej úrovne .sk DNSSEC zatiaľ stále nepodporuje.

Root zóna od pridania podpory DNSSEC až do štvrtkového nasadenia nového kľúča označeného KSK-2017 používala pôvodný hlavný tzv. KSK, key signing key, označovaný KSK-2010. Pomocou podpisového root kľúča sa štyrikrát do roka podpisujú tzv. zónové kľúče, ktoré sa následne už používajú na podpisovanie záznamov vracaných z root DNS serverov.




Najnovšie články:



Diskusia:

NŞA approved! Od: Mr. Big Bruder | Pridané: 15.10.2018 21:17 It's a thankfull teamwork! BR NSA Odpovedať Známka: 1.4 Hodnotiť:

UuuPeeeCeee Od: MarkoMarko | Pridané: 15.10.2018 21:18 No ja neviem, ale UPC zacalo mat presne v case vymeny kluca problem so zahranicnou konektivitou, ktory trval az do obeda dalsieho dna. Overil som to na dvoch roznych pripojkach v ramci BA. SK internet siel viac-menej ok, ale napr. neslo pingnut Google DNS servery a nefungovalo VPN pripojenie, resp. incoming traffic. Odpovedať Známka: 5.0 Hodnotiť:

Re: UuuPeeeCeee Od: suxi | Pridané: 16.10.2018 8:04 jj, ale uz okolo pol 10 na druhy den to rozchodili, takze to asi nebol vacsi incident :) Odpovedať Známka: 6.0 Hodnotiť:

Re: UuuPeeeCeee Od: pomocny osvetlovac | Pridané: 16.10.2018 8:26 sk internet siel preto, lebo nepouziva DNSSEC... ved viete SK-NIČ Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny faktizmus Od: syntaxterrorX .XX | Pridané: 15.10.2018 21:38 Z perspektivy Colombovej zeny je zaujimavy najma fakt, ze ten kluc okrem potrebu novych notaskov odovodnujucich menezerov kluca vlastne priekazne nik nevidel. Odpovedať Známka: 0.0 Hodnotiť:

Kua ani som Od: ffdf | Pridané: 15.10.2018 22:04 nepotreboval jeho kópiu a net mi ide...je to možné?? Odpovedať Hodnotiť:

Re: Kua ani som Od: awwda | Pridané: 15.10.2018 22:24 zvláštna závada, skúšal si reštartovať? Odpovedať Známka: 10.0 Hodnotiť:

Re: Kua ani som Od: asdfa | Pridané: 16.10.2018 7:25 ja som si bol vcera tiez vymenit kluce od dveri a bez vecsich problemov...neviem co take halo okolo toho Odpovedať Známka: 2.0 Hodnotiť:

Re: Kua ani som Od reg.: a3a3a3 | Pridané: 16.10.2018 8:49 To hej, ale ty si sa na ne nemusel podpísať Odpovedať Známka: 10.0 Hodnotiť:

Včeličky a tie čmeliaky, ktoré by ale nemali letieť, ale letia. Od: Okažmura Kamikadze | Pridané: 16.10.2018 8:50 A pod rohož. Odpovedať Hodnotiť:

ze bez problemov... Od: hahaha2018 | Pridané: 16.10.2018 10:12 11. októbra po 19:00 vsetky VM na nasich strojoch stratili konektivitu. nepomohlo nic ine, ani restart VM. iba uplny fyzicky restart masin. takze bez problemov to nebolo. inac vacsinou pouzivame google DNS. Mozno bola chyba v Google. Par strojov co mali ine DNS problem nemali. Odpovedať Hodnotiť:

Pridať komentár