DNSSEC: müüt või tegelikkus? Osa neli: pigem tegelikkus

Ardi Jürgens
Jaga:

Antud blogipostitus on 107 kuud vana ning ei pruugi olla enam ajakohane.

dreamstime_9751696Jõulude ajal pole päkapikud mitte istunud jõude, vaid on DNS juurtsooni (.) sokutanud Eesti tippdomeeni DS kirje. Selle abil ongi nüüd loodud DNSSEC tehnoloogial põhinev usalduslik suhe meie tippdomeeni ja ülejäänud maailma vahel. Seega on õige aeg rääkida ka sellest, millised on Zone edasised plaanid turvalise DNS-i toetamisel.

Ametlikult käivitub Eesti tippdomeeni DNSSEC tugi 6. jaanuaril, sest sellest päevast hakkab kehtima domeenireeglistik, mis tunnustab DNSSEC-i olemasolu.

Mulle on jäänud mulje, et Eesti Interneti SA ja Riigi Infosüsteemide Amet on kaine mõistuse häält kuulnud ja tohutult suurt trummi tol päeval paugutama ei hakka. Mis on väga õige, sest DNSSEC on teema, mida peab võtma rahulikult ja revolutsioonilise rapsimise asemel tuleb ühtlases tempos liikuda parima võimaliku lõpptulemuseni.

Zone registripidajateenuse klientidel, kes haldavad ise oma DNS-i ja soovivad DNSSEC-i testida või kasutusele võtta, on 6. jaanuarist võimalik esitada Zone kaudu avaldus DS kirje sisestamiseks Eesti tippdomeeni registrisse.

(Esimeste reaalsete DNSSEC kasutajatena näeme esialgu riigiasutusi, panku jms organisatsioone, kes on DNSSEC-i juba varem reaalselt kasutanud või avalikult testinud.)

Selle teenuse kasutamiseks tekib Zone domeenide haldusesse uus DNSSEC kirje edastamise veebivorm. Turvalisuse huvides nõuab vorm DNSSEC kirje edastajalt selle digitaalset allkirjastamist Eesti ID-kaardi abil. Ühtlasi tuleb esitada digiallkirjastatud volikiri esindatavalt isikult. Peale allkirja ja volikirja kehtivuse kontrollimist edastab Zone võtme Eesti Interneti SA poolt hallatavasse tippdomeeni registrisse, kus see lõpuks sisestatakse tippdomeeni tsoonifaili. DNSSEC võtme edastamise eest tippdomeeni registrisse Zone eraldi raha ei küsi.

6. jaanuarist hakkame ühtlasi sisemiselt testima Zone taristu võimekust pakkuda DNSSEC tuge meie enda DNS servereid kasutavatele klientidele ja koolitama oma klienditeenindust. Kavatseme ka (mõneti alatult) oodata ära ühendusepakkujate ja katsejäneste esimesed DNSSEC alased kalad, et neist õppida. Misjärel on meil ühel hetkel plaanis DNSSEC tugi lisada kõikidele oma serveri- ja domeeniteenustega seotud DNS tsoonidele. Esialgu ilmselt nö “opt-in”põhimõttel, mis kogemuse tekkimisel asendub “opt-out” põhimõttega.

Soovitan DNSSEC teemal lugeda ka minu varasemaid kirjutisi:

https://www.zone.ee/blogi/2013/10/25/dnssec-osa2-eesmargid/
https://www.zone.ee/blogi/2013/11/09/dnssec-muut-voi-tegelikkus-osa-kolm-probleemid/

P.S.

Ei usu?

Vaata ise:

dig ds ee @j.root-servers.net.

; <> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <> ds ee @j.root-servers.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53826
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ee. IN DS

;; ANSWER SECTION:
ee. 86400 IN DS 34382 8 2 000A3D89DC6CD4BA00EA8AFFEE3967D3A26DE7A545FBEFE16BA07518 FC8D54F6

;; Query time: 134 msec
;; SERVER: 2001:503:c27::2:30#53(2001:503:c27::2:30)
;; WHEN: Thu Dec 26 15:04:02 2013
;; MSG SIZE rcvd: 68

Popular posts

Zone blogi 16

Pidupäev: Zone blogi 16!

Jaanus Putting
Täna 16 aastat tagasi, 3. novembril 2006 nägi ilmavalgust Zone blogi. Oma kõige-kõige esimeses postituses rõõmustasime toonase olulise verstaposti,...

Elektrivarustus eriolukorras

Ardi Jürgens
Energiavarustus on hetkel äärmiselt aktuaalne teema ja ka meie poole on korduvalt pöördutud küsimustega, mis puudutavad Zone infosüsteemide talitlusvõimet...

Zone klienditugi ehk kuidas võimas tosin aitab 200 000 kasutajat

Kaarel Urva
Mina olen Kaarel ja kirjutan seekordses blogiartiklis Zone klienditoest ning sellest, kuidas ka sina saaksid oma ettevõtte kliendituge efektiivsemaks...

SPF ja Gmail. Jälle!

Kaarel Urva
Ehk miks Gmail mu kirjad tagasi lükkab?Alates 7. juunist on Gmail hakanud tagasi lükkama kõiki e-kirju, mis saabuvad domeenidelt, millel on puudu SPF...