Linux E X P R E S

Facebook

IT 17.2 + Automatická správa keysetů po půl roce

IT 17.2

Konference Internet a Technologie 17.2 je za námi. Jednou ze zajímavých přednášek byla i prezentace současného stavu automatické správy sad klíčů. Provozovatele DNS serverů může velmi potěšit. 


Internet a Technologie 17.2 je za námi

Podzimní „vydání“ tradiční konference Internet a Technologie je za námi. Tentokrát se konference opět vrátila do Národní technické knihovny v pražských Dejvicích, kterou už v minulosti navštívila. Změnou oproti předchozím ročníkům bylo zpoplatnění podzimní konference (dříve byla účast zdarma; jarní konference je vždy placená), byť v podstatě jen symbolické.

Kdo konferenci nemohl navštívit, mohl sledovat přímý videopřenos.

Program se skládal ze čtyř bloků přednášek, každá trvala obvyklých 25 minut. V předsálí byl stánek projektu Turris, validační místo MojeID a prodej knih z Edice CZ.NIC. Pro účastníky bylo připraveno bohaté občerstvení (včetně oběda) a káva od Kofárny – to vše v ceně účasti.

Káva na konferenci IT 17.2 Káva na konferenci IT 17.2

Jako specialita této konference se konala malá oslava 30 let DNS, o níž už jste si mohli přečíst v samostatném novinkovém článku.

Z hlediska celkového hodnocení konference není moc co dodávat oproti předchozím ročníkům. Akce má dlouhodobě stabilní vysokou úroveň odbornou i organizační.

Rok 2016: automatická správa keysetů = pole neorané

Přestože se přednáška Ondřeje Filipa jmenovala „Automatická správa keysetů po půl roce“, poprvé se toto téma objevilo na konferenci Internet a Technologie už před rokem. Tehdy o automatické správě sad klíčů chybělo byť jen povědomí, natož aby se něco realizovalo. Neexistovaly dokonce ani všechny potřebné dokumenty, které by specifikovaly kompletní sadu operací.

Cílem automatické správy je zajistit automatizované přenášení klíčů do nadřazené zóny. Ručně je to operace otravná, komplikovaná (zvlášť v případě, že registrátor a správce DNS jsou různé subjekty) a navíc i náchylná na chyby.

Validační místo MojeID Validační místo MojeID

Tehdy se v CZ.NIC počítalo se třemi scénáři, z nichž jeden byl čistě věcí jednotlivých registrátorů domén, další dva znamenaly potřebu implementace podpory na straně CZ.NIC. A přestože ještě neexistovaly všechny dokumenty, už byla připravena prototypová implementace pro doménový systém FRED.

Automatická správa keysetů dnes

Za uplynulý rok se toho událo velmi mnoho. V březnu 2017 byl vydán dokument RFC 8078, který specifikuje správu záznamů typu DS (delegace podepisování) z nadřazené zóny prostřednictvím záznamů typu CDS a CDNSKEY, které se používají k signalizaci změn. Ten doplnil již déle existující informativní dokument RFC 7344 o automatické delegaci jako takové.

Ondřej Filip při přednášce o automatické správě keysetů Ondřej Filip při přednášce o automatické správě keysetů

V červnu 2017 pak začal v CZ.NIC projekt implementace automatické správy. Ondřej Filip princip řešení implementovaného v rámci systému FRED shrnul takto: „Do DNS zóny dáte speciální záznam, který signalizuje: ‚Já chci, aby moje zóna byla podepsána.‘ Ten záznam se jmenuje CDNSKEY nebo CDS; my hlídáme ten CDNSKEY. A děláme to tak, že se skenujeme všechny podřízené zóny v doméně .cz a díváme se, jestli tam ten záznam není.“

Pokud je záznam nalezen, zjistí se, zda už je zóna podepsaná. Pokud zatím není, ve skenování se pokračuje ještě 7 dní, aby se ověřilo, zda všechno funguje. Uživatel navíc dostane notifikaci. „A pokud se za 7 dní nic nestane, přeneseme kryptografický materiál přímo z té zóny automatizovaně do našeho registru a celý řetěz důvěry je uzavřen.“

Byla-li zóna už dříve podepsaná – jen se provádí rotace klíčů – je důvěryhodnost podstatně vyšší a tedy celá operace rychlejší (opakované ověřování není potřeba). Sken se dělá vždy protokolem TCP, takže je v porovnání s UDP výrazně odolnější proti případným útokům.

Propagační předměty routeru Turris Omnia Propagační předměty routeru Turris Omnia

„Udělejme DNS opět jednoduchým“

DNS operátor si může podporu samozřejmě implementovat do svých nástrojů, které používá. V rámci autoritativního DNS démona Knot DNS je podpora k dispozici už od verze 2.5 (aktuální verze je 2.6.2). „Knot DNS tady má jednu úžasnou vlastnost, která se mi líbí,“ chválí Ondřej Filip software vyvíjený v CZ.NIC. „Když mu řeknete – a na to je konfigurační volba (…) – tak za vás ten podpis provede sám.“

A to je to, o čem jsem mluvil na začátku (o jednoduchosti DNS v dobách před DNSSEC; pozn. aut.). Je to tak jednoduché, jako to bylo kdysi. Vy si nastavíte zónu, řeknete o svém serveru tomu nadřazenému a už se o nic nestaráte.“ Software DNS serveru automaticky podepisuje zónu a stará se i předávání klíčů do nadřazené zóny, není potřeba dělat nic ručně.

Řešení bylo spuštěno 20. června, a to pro domény bez DNSSEC a pro domény, které měly automaticky DNSSEC. Ve druhé fázi (26. září) byly přidány i domény, které měly DNSSEC nastavený ručně.

Účastníci konference sledují přednášku Ondřeje Filipa Účastníci konference sledují přednášku Ondřeje Filipa

CZ.NIC je zatím jediným správcem TLD na světě, který takové řešení provozuje. Brzy budou následovat správci Switch (TLD .ch a .li) a CIRA (TLD .ca), později další. O řešení z pohledu správce DNS se zajímá například firma Cloudflare – zatím má DNSSEC v režimu opt-in, chystá se pro české domény zavést opt-out (díky automatické správě keysetů).

Připravuje se možnost vyžádat si sken i mimo pravidelné dávkové zpracování (způsob PUSH), aby se změny projevily rychleji. Implementovat by se to mělo jak na straně systému FRED, tak i v Knot DNS.

Shrnutí

DNSSEC se v české národní doméně dostal do stavu, že lze vše plně automatizovat. Tím se jeho správa podstatně zjednodušuje a může být tedy nyní nasazen i tam, kde tomu dosud bránila komplikovaná technická situace.



Diskuze (0) Nahoru