DNSSEC w NASK

Protokół DNS zaprojektowano tak, aby w szybki i prosty sposób użytkownik Internetu otrzymał połączenie z poszukiwanym zasobem przy całkowitym pominięciu weryfikacji poprawności otrzymanej odpowiedzi. Tworząc koncepcję nie przewidziano bardzo szybkiej popularyzacji Internetu, rodzaju usług dostępnych przez DNS oraz związanych z tym zagrożeń. Informacje przesyłane w ten sposób nie są utajnione, ani zabezpieczone przed podrobieniem czy modyfikacją. Potencjalnie, dane mogą zostać sfałszowane bądź zmienione w wielu miejscach sieci. Po ich wprowadzeniu do pamięci podręcznej serwerów DNS, przez dłuższy czas są udostępniane kolejnym użytkownikom.
DNS jest obecnie najczęściej wykorzystywanym mechanizmem przez inne protokoły/usługi Internetu (np. usługa stron internetowych www i protokół HTTP). Dotychczas zwracano głównie uwagę na bezpieczeństwo samych usług tj. zabezpieczanie dostępu do serwisów bankowych, szyfrowanie poczty elektronicznej, pomijając zabezpieczenie samych nazw domen internetowych, będących podstawą działania tych usług. Powoduje to narażenie użytkowników na nieświadome ujawnienie na fałszywych (,,podmienionych") stronach internetowych, utworzonych na prawdziwych nazwach domeny, istotnych danych (tożsamości, haseł), a przez to utratę kontroli np. nad kontem bankowym, pocztą elektroniczną czy profilem w serwisie społecznościowym. [powrót]

DNSSEC jest skuteczną metodą zwiększenia bezpieczeństwa korzystania z DNS, a przez to bezpieczeństwa użytkowników Internetu oraz instytucji funkcjonujących w Internecie.
DNSSEC to narzędzie dla użytkownika końcowego, który dzięki niemu jest w stanie stwierdzić, czy informacja, która do niego dotarła przez DNS jest prawdziwa czy fałszywa, a co za tym idzie, czy np. strona internetowa, którą odwiedza to rzeczywiście strona banku, urzędu, elektronicznego sądu czy rejestru publicznego itp., czy też podszywająca się pod nią strona fałszywa (phishing).
DNSSEC zatem to również narzędzie dla instytucji funkcjonujących w Internecie, które dbają o bezpieczeństwo swoich klientów i świadczonych usług. [powrót]

Proces uwierzytelniania informacji otrzymanych protokołem DNS opiera się o tzw. ,,łańcuch zaufania", co wymaga poprawnego podpisania poszczególnych poziomów stref domen zgodnie z hierarchiczną strukturą DNS. Oznacza to, że aby zabezpieczyć nazwę domeny należy podpisać strefę tej domeny i wprowadzić specjalny kryptograficzny skrót z części publicznej klucza podpisującego strefę (rekord DS, z ang. delegation signer) do strefy domeny nadrzędnej w hierarchii DNS, w której nazwa domeny podlegająca zabezpieczeniu została zarejestrowana. Tu z kolei wspomniany skrót powinien zostać podpisany kluczem prywatnym, a jego skrót przekazany w analogiczny sposób do strefy nadrzędnej. Taki łańcuch budowany jest aż do strefy Root (najwyższy poziom w hierarchii DNS), gdzie znajduje się klucz określany jako ,,Trust Anchor", który powszechnie przyjmuje się, że jest zaufany. [powrót]

Abonent nazwy domeny .pl może zabezpieczyć usługi związane z nazwą domeny poprzez podpisanie jej strefy za pomocą DNSSEC i umieszczenie w strefie nadrzędnej obsługiwanej przez NASK kryptograficznego skrótu (w postaci rekordu DS, z ang. delegation signer) z części publicznej klucza podpisującego. Abonent może podpisać strefę samodzielnie lub zdać się na usługi Partnera, jeśli ten świadczy mu również usługi związane z obsługą techniczną nazwy domeny. W obu przypadkach to Partner reprezentujący Abonenta przed NASK lub sam NASK, w przypadku obsługi bezpośredniej, wprowadza rekord DS do stref zarządzanych przez NASK. NASK na swoich stronach internetowych poinformuje o dacie rozpoczęcia przyjmowania rekordów DS od Abonentów nazw zarejestrowanych w strefach NASK.
Użytkownik końcowy, który chce korzystać z DNSSEC, ma możliwość skorzystania z darmowych rozwiązań dla przeglądarek internetowych (tzw. wtyczek), które korzystają z rozszerzenia DNSSEC i ostrzegają użytkownika o potencjalnych zagrożeniach [powrót]

(obowiązuje od daty rozpoczęcia przyjmowania przez NASK rekordów DS)

Zmiana delegacji nazwy domeny .pl zabezpieczonej DNSSEC jest zgłaszana NASK identycznie jak zmiana delegacji nazwy domeny .pl niezabezpieczonej. Abonent powinien zgłosić zmianę poprzez rejestratora (NASK lub Partnera) obsługującego nazwę domeny .pl. Różnica w przypadku nazw domeny .pl zabezpieczonych DNSSEC polega na przeprowadzeniu w krótkim czasie trzech zmian w rejestrze domeny .pl: dodanie nowego rekordu DS, zmiana serwerów nazw, usunięcie starego rekordu DS.
W przypadku zmiany delegacji nazwy domeny .pl zabezpieczonej DNSSEC należy zachować szczególną ostrożność, aby w wyniku błędów po stronie opiekuna technicznego nie doszło do przerwania łańcucha zaufania. [powrót]

(obowiązuje od daty rozpoczęcia przyjmowania przez NASK rekordów DS)

Nieumiejętna konfiguracja strefy podczas zmiany delegacji nazwy domeny .pl zabezpieczonej DNSSEC może wiązać się z przerwaniem łańcucha zaufania, co skutkuje błędami podczas walidowania strefy. Efektem tych błędów jest brak możliwości uzyskania adresu IP na zapytanie DNS.
Warto pamiętać, że:

• zmiana delegacji nazwy domeny nie może zakłócić procesu walidowania jej strefy;
• błędy w walidacji są groźniejsze niż brak możliwości samej walidacji, jeżeli istnieje opcja wyboru mniejszego zła, preferowane jest użycie niezabezpieczonej strefy, ale i taki wybór należy ograniczyć do koniecznego minimum;
• krytyczny materiał w postaci części prywatnych kluczy podpisujących dane w strefie nigdy nie jest wymieniany między opiekunami technicznymi;
• nie umieszcza się "obcych" rekordów RRSIG w zarządzanej strefie;
• interakcja pomiędzy rejestrem, Partnerem, opiekunem technicznym oraz Abonentem powinna być ograniczona do minimum;
• jeżeli nie da się uniknąć interakcji to nowy opiekun techniczny powinien wziąć na swoje barki ciężar przeprowadzenia procesu zmiany delegacji odciążając obecnego opiekuna technicznego, który traci kontrolę nad obsługą nazw domeny .pl;
• pomijając mechanizmy DNSSEC, sam proces zmiany delegacji powinien wyglądać dokładnie tak samo jak przy nazwie domenie .pl niezabezpieczonej DNSSEC.

• brak możliwości bezpośredniej komunikacji między obecnym i nowym opiekunem technicznym nazwy domeny .pl;
• istnieje możliwość włączenia obcych rekordów DNSKEY do strefy w celu osiągnięcia nieprzerwanej walidacji łańcucha zaufania wzdłuż rekordów DS/KSK/ZSK, zarówno u obecnego jak u przyszłego opiekuna technicznego, łącznie z możliwością podpisania tychże rekordów DNSKEY;
• obaj opiekunowie techniczni, obecny i przyszły, wspierają ten sam algorytm szyfrowania;
• w strefie istnieje rozdział między kluczami ZSK i KSK

• W momencie rozpoczęcia zmiany rekord DS w strefie nadrzędnej wskazuje na klucz KSK znajdujący się w strefie u opiekuna technicznego, który traci kontrolę nad nazwy domeny .pl.
• Nowy opiekun techniczny poprzez mechanizmy DNS pobiera z przejmowanej strefy rekord ZSK (od obecnego opiekuna technicznego). Weryfikuje jego poprawność przy pomocy mechanizmów DNSSEC, a następnie dodaje go do rekordów DNSKEY znajdujących się na jego serwerach i podpisuje nowy zestaw rekordów DNSKEY przy pomocy swoich kluczy KSK i ZSK. Na tym etapie nowa infrastruktura nie jest jeszcze gotowa na przyjmowanie zapytań DNS, ale dzięki temu zabiegowi możliwa stała się walidacja starych rekordów RRSIG przy pomocy nowych kluczy KSK i ZSK.
• Obecny opiekun techniczny otrzymuje od Abonenta nowy rekord DNSKEY zawierający klucz ZSK i umieszcza go w swojej strefie. Podpisuje ten nowy zestaw rekordów swoimi kluczami KSK i ZSK.
  Na tym etapie możliwa jest walidacja nowych rekordów RRSIG przy pomocy starych kluczy KSK i ZSK.
• Partner, na zlecenie Abonenta, dokonuje zmiany delegacji nazwy domeny .pl poprzez dodanie do niej nowego rekordu DS wskazującego na nowy klucz KSK (pierwsza zmiana w rejestrze domeny .pl).
  Na tym etapie, po czasie określonym przez TTL starego ZSK, resolvery nie będą posiadać w swojej pamięci zestawu rekordów DNSKEY lub będą posiadać zestaw rekordów DNSKEY podpisany starym kluczem KSK, ale zawierający już nowy klucz ZSK.
• Jeżeli w pamięci resolverów znajduje się zestaw rekordów DS zawierający skrót do nowego klucza KSK (tzn. stary zestaw rekordów DS wygasł) można zmienić delegację nazwy domeny .pl i wskazać w niej serwery nowego opiekuna technicznego (druga zmiana w rejestrze domeny .pl).
  Po tym kroku strefa nadrzędna będzie zawierać delegację na nowe serwery oraz dwa rekordy DS wskazujące na stary i nowy KSK. Dzięki dwóm rekordom DS możliwe jest weryfikowanie obu zestawów DNSKEY.
• Jeżeli wszystkie zestawy rekordów DNSKEY zawierające stary KSK wygasły (resolver DNS poprzedniego opiekuna technicznego nie powinien już odpowiadać na zapytania DNS), Partner, na zlecenie Abonenta, dokonuje zmiany delegacji nazwy domeny .pl usuwając stary rekord DS (trzecia zmiana w rejestrze domeny .pl).
  Minimalny czas jaki trzeba odczekać przed wykonaniem ostatniego kroku to suma czasów:
  
  • czas TTL zestawu rekordów NS znajdujących się w strefie nadrzędnej;
  • czas TTL zestawu rekordów NS zwracanych przez autorytatywny serwer;
  • czas TTL zestawu rekordów DNSKEY ze starej strefy.

(obowiązuje od daty rozpoczęcia przyjmowania przez NASK rekordów DS)

Procedura transferu obsługi nazwy domeny .pl pozostaje taka sama zarówno dla nazwy domeny .pl zabezpieczonej DNSSEC jak i niezabezpieczonej DNSSEC.
Jeśli transfer obsługi nazwy domeny .pl zabezpieczonej DNSSEC jest związany ze zmianą delegacji nazwy domeny (np. na serwery nazw Partnera) zalecamy by transfer nazwy domeny .pl przeprowadzić po dodaniu rekordu DS do obiektu domena (patrz: pierwsza zmiana w rejestrze domeny .pl w przypadku procedury zmiany delegacji nazwy domeny .pl zabezpieczonej DNSSEC).
[powrót]

(obowiązuje od daty rozpoczęcia przyjmowania przez NASK rekordów DS)

W sytuacji podejrzenia kompromitacji (tj. ujawnienia) kluczy należy upewnić się czy nasza infrastruktura jest bezpieczna, a następnie wykonać procedurę wymiany kluczy z dodatkową opcją unieważnienia starych skompromitowanych kluczy poprzez ustawienie bitu "Revoke" na rekordach DNSKEY. [powrót]

DNSSEC Polityka i zasady postępowania jest opisem procedur i zasad stosowanych w rejestrze strefy domeny .pl zabezpieczonej DNSSEC. Dokument stosuje się względem strefy administrowanych przez NASK. Pełna lista stref będących w administracji NASK dostępna jest na stronie http://www.dns.pl. [powrót]