DNSSEC: müüt või tegelikkus? Osa 1: Hetkeseis

Ardi Jürgens
Jaga:

Antud blogipostitus on 111 kuud vana ning ei pruugi olla enam ajakohane.

dreamstime_9751696See on esimene postitus seeriast, mille eesmärk on tutvustada DNSSEC hetkeseisu, tulevikku, nõrkusi ja tugevusi.

IT valdkonnas on palju vastuolulisi teemasid, mille ümber erinevad huvigrupid kärbestena tiirlevad. Tihti on teemad sedavõrd esoteerilised, et nende täpne olemus ei jõua valdavale osale ühiskonnast kunagi päris selgelt kohale. Üks selline teema on DNSSEC ehk Domain Name System Security Extensions.

DNS ehk Domain Name System on kolmkümmend aastat vana teenus, mis on tänaseni üks interneti alustalasid. Selle abil jõuavad miljardid inimesed õigete ressurssideni, kui sisestavad brauserisse mõne veebisaidi nime (nagu näiteks www.facebook.com).

Ajalooliselt on DNS toiminud usalduse baasil. Kasutaja usaldab, et internetiühenduse pakkuja server suunab ta aadressipäringu peale õiges suunas ja viimane omakorda usaldab temast kaugemale jäävaid DNS servereid.

DNSSEC eesmärk on senist usaldusel põhinevat süsteemi täiustada ja luua võimalus päringute vastuste kontrollimiseks. Kasutaja arvuti või tema ühendusepakkuja DNS server saavad DNSSEC kasutamise korral veenduda selles, et vastus pärineb õigest kohast.

Idee, millel baseerub DNSSEC, käidi välja 1990-ndate keskpaigas. Läks aga 10 aastat, enne kui standardid küpsesid ja Rootsi 2005. aastal esimese riigina maailmas DNSSEC-i vaikselt kasutusele võttis.

Kindlasti tekib siinkohal küsimus, kui DNS on 30 aastat, idee DNSSEC-ist pea 20 aastat ja standard 10 aastat vana, siis miks peaks sellest täna kirjutama?

Põhjus peitub asjaolus, et järgmisest, 2014. aastast kavatseb ka Eesti tippdomeeni register Eesti Interneti Sihtasutus (EIS) alustada DNSSEC juurutamist.

Miks on läinud nii kaua selleks, et näiliselt oluline tehnoloogia Eestis juurutamist leiaks?

Alustame sellest, et DNSSEC rahvuslike tippdomeenide tasandil juurutamiseks viisil, mis võimaldab kõigil andmete korrektsust usaldusväärselt verifitseerida, tuli esmalt krüptograafiliselt allkirjastada interneti juurtsoon. See sisaldab infot kõikide tippdomeenide kohta. Tänu huvitatud osapoolte rohkusele ja vastandlikele poliitikatele, oli see aeglane protsess, mis kulmineerus alles 2010. aastal. Alates sellest hetkest hakkas DNSSEC levik maailmas oluliselt kiirenema.

Eestis oli 2010. aastal pooleli tippdomeeni halduse täielik reformimine, millesse DNSSEC samaaegne tutvustamine oleks lisanud hulga probleeme. Arusaadavalt on alles nüüd, kus tippdomeeni reform on jäänud piisavalt kaugele selja taha, tekkinud registril ja registripidajatel piisavalt aega, raha ja kogemust selle teemaga edasi minna.

Teiseks on DNSSEC implementeerimise juures alati olnud mure kõikide osapoolte ühele joonele saamine ja klassikalise “kana ja muna” probleemi lahendamine.

Register ja registripidajad küsivad endalt, miks nad peaksid investeerima domeenide allkirjastamisesse, kui ükski sideteenuse pakkuja DNS kirjete terviklikkust ei kontrolli. Sidepakkujatel leidub aga alati muudki teha, kui üritada verifitseerida kirjeid, mida keegi allkirjastanud ei ole.

DNSSEC implementeerimine riigi mastaabis tähendab kõikidele osapooltele riistvarauuendusi, tarkvara täiendamist, sisemiste protseduuride ülevaatamist, koolitusi, teavitustööd jpm. Kuna vajalikud investeeringud on märkimisväärsed, siis keegi “igaks juhuks” midagi valmis looma ei hakanud.

Viimase aasta jooksul on siiski toimunud märkimisväärseid edasiminekuid. DNSSEC kirjete kontrolli teostamisest on teada andnud nii suurimate avalike DNS serverite haldajad nagu Google kui ka suuremad sidepakkujad nagu näiteks Ameerika Ühendriikides tegutsev Comcast.

Nagu öeldud, on Eestis härjal sarvist haaranud Eesti Interneti Sihtasutus, kes teeb aktiivselt tööd selle nimel, et DNSSEC 2014. aastal ka Eestis reaalsuseks saaks.

Järgmises postituses tahaks kirjutada DNSSEC köögipoolest ja potentsiaalist.

Lahtiütlus: Zone osaleb Eesti Interneti Sihtasutuse poolt kokku kutsutud DNSSEC Ekspertgrupis ja Registripidajate Töögrupis.

Populaarsed postitused

Partner soovitab:
Veebilehe optimeerimine paneb tulud kasvama

Digielu
Tänapäevase veebilehe optimeerimine mõjutab otseselt seda, kui hästi nii otsingumootorid kui ka kasutajad sinu veebilehte tajuvad.

Teeme andmebaasiühendused turvalisemaks

Ingmar Aasoja
Teatavasti on SQL andmebaaside kasutajatel vaikeseadistustes lubatud ühenduda ainult lokaalselt, mis tagab selle, et andmed ei liigu üle võõraste võrkude....

Partner soovitab:
Kuidas tõsta e-poe müüki disaini abil?

blogi
Kas oled märganud, et veebilehed on justkui uued vaateaknad? Inimesed toimetavad üha enam veebis, mis tähendab, et ka suur osa oste tehakse seal. See...