ICANN udskifter nu DNSSEC-rodnøgle

ICANN, som er den organisation, der styrer internettets rodserver, udskifter DNSSEC’s rodnøgle. Det er første gang, at rodnøglen skiftes, og det sker for at opretholde et højt sikkerhedsniveau på DNSSEC.

Trods et stort forarbejde, vurderede ICANN sidste år, at der var for mange usikkerheder forbundet med udskiftning af DNSSEC på det tidspunkt, hvor udskiftningen var planlagt (11. oktober 2017). Udskiftningen blev derfor udskudt i sidste øjeblik. Nu har ICANN, DNS-leverandører, udviklere og mange andre de sidste måneder arbejdet hårdt på at få bedre indblik i eventuelle konsekvenser af en udskiftning. Potentielle problemer blev fundet og rettet, og ICANN er derfor klar til endelig at foretage udskiftningen af DNSSEC-rodnøglen.

Organisation har annonceret, at udskiftningen vil finde sted d. 11. oktober 2018 kl. 18:00 dansk tid. I den anledning genudgiver vi nedenstående vejledning, som vi lavede sidste år.

Her kan du læse en række spørgsmål og svar om udskiftningen af DNSSEC’s rodnøgle.

Husk at navneserveren skal have den nye nøgle

For at sikre at udskiftningen af rodnøglen vil foregå uden problemer, skal du, hvis du driver en rekursiv navneserver, der har DNSSEC validering slået til, sikre dig, at navneserveren får den nye nøgle inden den 11. oktober. Hvis navneserverne ikke har den nye nøgle, vil nogle almindelige brugere ikke have adgang til internettet.

Hvem er ICANN?

ICANN står for Internet Corporation of Assigned Names and Numbers.

ICANN er en not-profit organisation, som ejer virksomheden IANA (Internet Assigned Numbers Authority). IANA’s opgave er at styre rodserveren, der indeholder alle top-level domænenavne i verden som f.eks. .dk, .com og .org.

Hvad er DNS og DNSSEC?

DNSSEC er en sikkerhedsudvidelse til DNS.

DNS oversætter domænenavne til internettets IP-adresser via såkaldte navneservere og viser dermed din computer vejen til den hjemmesideadresse, du har tastet ind i din browser.

Har du DNSSEC på dit domænenavn, giver du dine besøgende mulighed for at sikre, at kriminelle ikke kan hacke vejen til din hjemmeside, da den bliver låst med en række nøgler. Dermed kan DNSSEC være en garanti for, at man som besøgende er på den rigtige hjemmeside og ikke en kopi, som for eksempel har til formål at skaffe adgang til private oplysninger.

Knap 2 procent af alle .dk-domænenavne er signeret med DNSSEC.

Hvad er rodnøglen?

Rodnøglen, der også går under navnet root KSK, er den første af en række kryptografiske nøgler, som din computer bruger, når den via DNS skal finde vej til de hjemmesider, der bruger DNSSEC.

Hvorfor bliver rodnøglen skiftet ud?

Først og fremmest er det best practice at udskifte alle kryptografiske nøgler periodisk, for desto mere en nøgle er blevet brugt, desto nemmere er det at afkode den. Derudover er det vigtigt at afprøve proceduren og systemet, så det er gennemtestet, hvis der på et tidspunkt opstår et akut behov for at udskifte en eller flere nøgler. Det vil for eksempel være tilfældet, hvis det lykkes hackere at afkode en eller flere af de nøgler, som er i brug.

Hvornår udskiftes rodnøglen?

Den nye rodnøgle er allerede lavet og blev publiceret i rodzonen i juli 2018. Dog virker den gamle nøgle stadig til og med d. 10. oktober 2018. Fra den 11. oktober 2018 er kun den nye nøgle i brug.

Hvad skal jeg gøre?

Langt de fleste brugere af internettet skal ikke gøre noget

Men hvis du driver en rekursiv navneserver, der har DNSSEC validering slået til, skal du sikre dig, at navneserveren får den nye nøgle inden den 11. oktober 2018. De fleste DNS softwarepakker såsom Unbound og BIND understøtter RFC5011 standarden, som sørger for at det sker helt automatisk. ICANN har lavet et testsystem, hvor du kan afprøve, om dit system understøtter et automatisk skift. Det finder du her: https://go.icann.org/KSKtest. Hvis nøglen ikke bliver opdateret, skal du kontakte din softwareleverandør.

Hvis du ikke installerer den nye nøgle, kan det i sidste ende betyde, at dine kunder ikke vil have adgang til internettet.  

Jeg har et .dk-domænenavn. Skal jeg gøre noget hos DK Hostmaster eller ved min hostingudbyder?

Nej.

ICANN

Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig. Her kan du finde teknisk information og formularer, som er relevant i arbejdet som registrator eller navneserveransvarlig.

Copyright 2016 All Rights Reserved.