DNSSEC hos.se. Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@iis.se @amelsec https://www.iis.se

DNSSEC hos.se Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@iis.se @amelsec https://www.iis.se

.SE först i världen.se signerade zonfilen 2005. Friendly users 2006 och full drift 2007. ICANN/IANA signerade roten 2010. 102 av 316 zoner i roten signerade. 94 av 102 har publicerat DS-poster i rotzonen. Många använder A Framework for DNSSEC Policies and DNSSEC Practice Statements draft-ietf-dnsop-dnssec-dps-framework-10

102 klara men 199 återstår!.arpa.ac.ag.am.asia.at.be.bg.biz.br.bz.ca.cat.cc.ch.cl.co.com.cr.cz.de.dk.edu.eu.fi.fo.fr.gi.gl.gn.gov.gr.hn.in.info.io.jp.kg.kr.la.lb.lc.li.lk.lr.lu.lv.me.mil.mm.museum.mx.my.na.nc.net.nl.nu.nz.org.pl.pm.post.pr.pt.re.sc.se.sh.si.su.sx.tf.th.tm.tt.tw.tz.ua.ug.uk.us.vc.wf.yt.[idn*17]

Signerade i.se 12 10 8 6 4 2 0

DNSSEC i.se Signerade domäner: Dec 2009 2,066 Dec 20104,299 Dec 2011 166,041 Sep 2012141,129 Dec 2012 350,000 (mål) Sep 201256 av 147.SE Registrarer kan lägga till och uppdatera DS-poster (kunna ta bort är obligatoriskt).

Varför införde vi DNSSEC? För att öka dataintegriteten i DNS. För att förbättra säkerheten för domäninnehavare i.se och användare på Internet. För att ansvariga myndigheter förespråkade det (Post- och Telestyrelsen). För att kunna ha större förtroende för kritiska tjänster. För att en utvidgad användning av DNSSEC för säker distribution av attribut från andra säkerhetsprotokoll och lösningar.

.SE:s distributionskanaler Ändrad affärsmodell 2009; startade.se direkt; nya internationella registrarer tillkom. Totalt 150 registrarer. Topp-10 registrarer registrerar 70-80 procent av alla domännamn. Webbhotell dominerar marknaden. Domännamn betraktas som något som följer med paketet och som en lockvara. De flesta registrarer är små företag på en relativt ung marknad.

Vad fungerade inte? 2007 2010, Strategi: Få domäninnehavare och slutanvändare att förstå värdet (skapa en efterfrågan). Tilläggstjänst till traditionell DNS. Rädda alla, utbilda alla Fokus på domäninnehavare och vissa kritiska målgrupper.

Vad fungerade? 2011 Förändrad strategi: omfattande uppgradering av vår infrastruktur. Hur: Registrarer vill tjäna pengar. Se till att skapa en affär för registrarerna!.se är en knutpunkt för det lokala Internetsamfundet (DNS-referensgruppen, nära kontakt med ISP:er och registrarer). Tillgång till backend-provider och verktyg (Atomia/PowerDNS) Stöd (pengar) från svenska myndigheter.

.SE jobbar för en positiv utveckling av Internet i Sverige Vår expertis, statens pengar. Åtgärder för höjning av krisberedskapen. Drygt 200 kommuner (av 290) har sökt medel för att införa DNSSEC. http://kommunermeddnssec.se/maps.php http://dnscheck.iis.se/ https://www.iis.se/press/pressmeddelanden/halsolaget-

Vem ska validera DNSsec? Det vanligaste idag är att det är Internetleverantörens DNSresolver som validerar. Eller ingen. DNS-resolver Bildcredd: Mats Dufberg

Signera och validera Signera DNS-data Krypto Utan signering ingen DNSsec Jämför datat med signaturen. Stämmer signaturen med datat? Utan validering är DNSsec värdelöst! Bildcredd: Mats Dufberg

Vad gör DNS-resolvern?.SE.COM.FI.INFO.DK.NET DNS-resolvern kontrollerar DNS-datat innan den skickar svaret till användaren inget svar om det inte går att validera. www.dn.se? DNS-resolver med DNSsec 217.114.85.134

Varför validera DNSsec redan nu? Utnyttja de säkerhetsmekanismer som finns. Främja utvecklingen av DNSSSEC. Skaffa erfarenhet och lära sig. Främja tillväxten av DNSSEC. 14

Men. Det har inte varit problemfritt. Vissa fel i DNS syns bara i DNSSEC och bara när man validerar. Det har varit flera fel i DNS-programvaror som bara gällt DNSSEC lett till störningar. Programvaran måste uppdateras oftare. Svårare att felsöka DNS med DNSSEC. DNSSEC kräver nya saker att hålla reda på. I vissa fall har olika DNS-programvaror inte

Framgångsfaktorer DNS-referensgruppen och nära kontakter med ISP:er och registrarer. Alla känner alla. Stöd från den politiska ledningen. http://www.regeringen.se/content/1/c6/17/72/56/992841 Alla är beredda att hjälpa till, även om de i någon mån är konkurrenter.

Dyrt? Nej. Det finns fria programvaror för signering. Uppgradering måste ändå göras ibland. Det finns välspridda DNS-programvaror som stödjer validering. Det krävs obetydligt mera hårdvara. Det kräver inte så mycket extra skötsel.

Svårt? Nja. Det är inte svårt att börja signera. Det krävs lite ordning och reda. Det är inte svårt att börja validera men det krävs mera kunskap för att förstå. Det krävs förståelse för att kunna felsöka. Det krävs förståelse för att kunna förklara varför fel inte alltid är fel i DNS-resolvern.

Vad har vi lärt oss? Att röra om i myrstacken avslöjar svagheter och brister vi hittade buggar i PowerDNS, Unbound och Bind. Morötterna måste vara tämligen saftiga för att attrahera registrarerna. Det behövs mer arbete för att övertyga fler registrerer, bara ett fåtal av.se:s registrarer har signerat sina egna och kundernas zoner.

Framtida utveckling Vi fortsätter med finansiellt stöd till registrarerna. Vi fortsätter med stöd i form av utbildning och teknik. Vi samarbetar med myndigheterna och regeringen. Vi förväntar oss att 50 procent av zonfilen är signerad inom två år. Tänkbar prisstruktur: Det blir dyrare med osignerade domäner än med signerade.

Slutligen DNSSEC är en nödvändighet för att kunna höja säkerheten i DNS. Vi måste gå igenom denna övergångsfas där nyttan av DNSSEC uppfattas som begränsad men där vi ändå inte slipper undan problemen. Vårt arbete med DNSSEC har givit oss erfarenhet både internt och åt andra som arbetar med DNSSEC, både utvecklare, registryer, registrarer och ISP:er. Utan signering i stor skala vill ingen validera.

Tack för mig! amel@iis.se @amelsec https://www.iis.se