DNSSEC: müüt või tegelikkus? Osa kolm: probleemid

Seeria kolmas kirjatöö keskendub DNSSEC (Domain Name Security Extensions) juurutamisega kaasnevatele probleemidele. Ehk nagu kolleegidele provokatiivselt lubasin, kirjutan ka sellest miks hoolimata kõigest DNSSEC “imeb”.

Seega, panen oma optimisti mütsi asemel kohe pähe (tavapärase) skeptiku mütsi.

Esiteks. DNSSEC reaalset kasu on väga raske numbritesse panna. Nagu ühes varasemas postituses mainisin, DNS on 30 aastat vana tehnoloogia ja seni on ilma hakkama saadud. Probleem, mida DNSSEC peaks lahendama, ehk serveri autentsuse kinnitamine, on osaliselt lahendatud teiste meetoditega (SSL). DNS spuufimise vastu on kasutusele võetud work-arounde. Kui miski pole katki, milleks seda parandama hakata?

Teiseks. DNS kirjete abil vahetatava informatsiooni hulk kasvab peale DNSSEC juurutamist kordades. Kirjete signeerimiseks ning valideerimiseks teostatavad krüptograafilised operatsioonid nõuavad samuti varasemast märksa rohkem arvutusressurssi. Paljude osapoolte jaoks on see pseudoprobleem, kuid suuremate registrite, registripidajate ning hosting-teenuse pakkujate jaoks on sel siiski oluline tähendus. Kes katab täiendava investeeringu riistvarasse või andmesidevõrku? Kas klient on valmis DNSSEC eest maksma?

Kolmandaks. Lõppkasutaja vaatest DNSSEC-i ei eksisteeri. Kui minna oma lauaarvutiga või mobiilseadmega DNSSEC-i abil kaitstud veebilehele, ei kuva ükski brauser lukuikooni ega rohelist aadressiriba. Kasutaja saab selle olemasolust õhkõrnalt aimu alles siis, kui asjad katki lähevad. 

(Mitmetele veebilehitsejatele leidub sellegipoolest laiendusi, mis DNSSEC info kasutajani toovad. Ilmselt on tuntuim nendest DNSSEC Validator (http://www.dnssec-validator.cz/. Aga pluginate paigaldamisega ühiskonnas positiivse efekti saavutamiseks vajalikku kriitilist massi kunagi ei ületata.)

Neljandaks. DNSSEC ei suhtle kasutajaga. Kui kasutaja arvuti või sideteenuse pakkuja valideerib rangelt DNSSEC kirjeid, siis vigase kirjega DNS aadressile sattudes, on internetiühendus selle aadressi taga oleva serveriga justkui katki. Ei tule teadet, mis räägiks DNSSEC-i kohta, lihtsalt geneeriline veebilehitseja veateade, mis äärmisel juhul ütleb midagi üldist DNS-i nimelahenduse ebaõnnestumise kohta. Mis täpselt katki on, jääb kasutaja jaoks esialgu müsteeriumiks ja ta ise peab hakkama vea olemust välja selgitama. Isegi, kui lõpuks jõutakse oma sideettevõtja või hosting-teenuse pakkuja klienditoeni välja, siis peab seal vastas olema pädev kaader, kes suudab kasutaja üldise veakirjelduse peale teenuste pinust probleemse DNSSEC kirje välja sõeluda.

Viiendaks. Ressursside krüptograafiline signeerimine on valdava enamuse domeeniomanike jaoks “hiina keel”. Vajadus hallata mitmeid krüptovõtmeid, neid roteerida ja õigeaegselt uuendada ajab tõenäoliselt pea segi nii algajail kui ka edasijõudnutel. Võtmete roteerimise kohustus ja sellega seotud protseduurid tingivad ilmselt nii mõnelegi uudishimulikule kuuluva domeeni ajutise kadumise internetist.

Kuuendaks. Need tüütud protseduurid. Paljudes organisatsioonides on vaja välja mõelda ja töösse lasta tuleb panna väga suur hulk uusi poliitikaid, eeskirju ja juhiseid. Lisaks tuleb neid hakata järgima – kõigil. Ainuüksi selle peale mõtlemine paneb pea valutama. Täna neid ei ole fikseeritud ning nende arendus toimub paljudes töögruppides nö jooksult – “see päev, see mure”, mis viib jällegi paratamatute probleemideni.

(Nii näiteks kaotasid Ameerika Ühendriigid ühel kaunil päeval oma .GOV tippdomeeni internetist ära, kui uuendasid üht DNSSEC võtmetest, kuid unustasid vastavat DNS kirjet uuendada. Kui tahad panna end proovile DNSSEC vea otsimisel, siis on selle intsidendi raportiga võimalik tutvuda aadressil http://dnsviz.net/d/gsa.gov/UguNUw/dnssec/#sthash.DhKK7VN6.dpuf )

Aga ärme kaota lootust. DNSSEC-i juurutamise organiseerimine ongi keeruline. Selle eduka ehk laiapõhise kasutuselevõtu eelduseks on kogukondlik konsensus. Edu saavutamine eeldab isiklike või organisatsiooni ambitsioonide kõrvalepanemist ja ühise huvi nimel tegutsemist. Kui seda on piisavalt, saab DNSSEC juurutamine kõigest hoolimata olema edukas.