ICANN udskifter DNSSEC-rodnøgle

ICANN, som er den organisation, der styrer internettets rodserver, udskifter DNSSEC’s rodnøgle. Det er første gang, at rodnøglen skiftes, og det sker for at opretholde et højt sikkerhedsniveau på DNSSEC.

ICANN har gjort et stort arbejde for at informere om udskiftningen af rodnøglen. Men eftersom det er første gang, at en rodnøgle bliver udskiftet, er det tekniske DNSSEC-community meget spændte på, hvordan processen vil forløbe.

For at sikre at udskiftningen af rodnøglen vil foregå uden problemer, skal du, hvis du driver en rekursiv navneserver, der har DNSSEC validering slået til, sikre dig, at navneserveren får den nye nøgle inden den 11. oktober 2017. Hvis navneserverne ikke har den nye nøgle, vil nogle almindelige brugere ikke have adgang til internettet.

Nedenfor kan du læse en række spørgsmål og svar om udskiftningen af DNSSEC’s rodnøgle.

Hvem er ICANN?

ICANN står for Internet Corporation of Assigned Names and Numbers.

ICANN er en not-profit organisation, som ejer virksomheden IANA (Internet Assigned Numbers Authority). IANA’s opgave er at styre rodserveren, der indeholder alle top-level domænenavne i verden som f.eks. .dk, .com og .org.

Hvad er DNS og DNSSEC?

DNSSEC er en sikkerhedsudvidelse til DNS.

DNS oversætter domænenavne til internettets IP-adresser via såkaldte navneservere og viser dermed din computer vejen til den hjemmesideadresse, du har tastet ind i din browser.

Har du DNSSEC på dit domænenavn, giver du dine besøgende mulighed for at sikre, at kriminelle ikke kan hacke vejen til din hjemmeside, da den bliver låst med en række nøgler. Dermed kan DNSSEC være en garanti for, at man som besøgende er på den rigtige hjemmeside og ikke en kopi, som for eksempel har til formål at skaffe adgang til private oplysninger.

Knap 2 procent af alle .dk-domænenavne er signeret med DNSSEC.

Hvad er rodnøglen?

Rodnøglen, der også går under navnet root KSK, er den første af en række kryptografiske nøgler, som din computer bruger, når den via DNS skal finde vej til de hjemmesider, der bruger DNSSEC.

Hvorfor bliver rodnøglen skiftet ud?

Først og fremmest er det best practice at udskifte alle kryptografiske nøgler periodisk, for desto mere en nøgle er blevet brugt, desto nemmere er det at afkode den. Derudover er det vigtigt at afprøve proceduren og systemet, så det er gennemtestet, hvis der på et tidspunkt opstår et akut behov for at udskifte en eller flere nøgler. Det vil for eksempel være tilfældet, hvis det lykkes hackere at afkode en eller flere af de nøgler, som er i brug.

Hvornår udskiftes rodnøglen?

Den nye rodnøgle er allerede lavet og blev publiceret i rodzonen i juli 2017. Dog virker den gamle nøgle stadig til og med d. 10. oktober 2017. Fra den 11. oktober 2017 er kun den nye nøgle i brug.

Hvad skal jeg gøre?

Langt de fleste brugere af internettet skal ikke gøre noget

Men hvis du driver en rekursiv navneserver, der har DNSSEC validering slået til, skal du sikre dig, at navneserveren får den nye nøgle inden den 11. oktober 2017. De fleste DNS softwarepakker såsom Unbound og BIND understøtter RFC5011 standarden, som sørger for at det sker helt automatisk. ICANN har lavet et testsystem, hvor du kan afprøve, om dit system understøtter et automatisk skift. Det finder du her: https://go.icann.org/KSKtest. Hvis nøglen ikke bliver opdateret, skal du kontakte din softwareleverandør.

Hvis du ikke installerer den nye nøgle, kan det i sidste ende betyde, at dine kunder ikke vil have adgang til internettet.  

Jeg har et .dk-domænenavn. Skal jeg gøre noget hos DK Hostmaster eller ved min hostingudbyder?

Nej.

Ny rodnøgle

Copyright 2016 All Rights Reserved.