DNSSEC – din kondom i Gomorra

Alla har vi väl hört talas om DNSSEC vid det här laget, vilket är för väl.

I och med att ett modernt företags domännamn kommit att bli en av dess värdefullaste resurser, känns det lite konstigt att lita på DNS ensamt med sina 16-bitars query-ID som säkerställare av att hemsidan och e-posten inte tagits över av banditer. Milt sagt. Snarare är det som att använda snustorra halmkorgar som brandskydd för viktiga dokument.

Hur hjälper DNSSEC till att säkra hemsidan?

I dagsläget ska tre punkter uppfyllas för att detta ska vara fallet:

  1. Företaget har ett domännamn under en toppdomän som erbjuder DNSSEC, t ex .se.
  2. Företaget har aktiverat DNSSEC, t ex via Loopia.
  3. Besökarens ISP, Internetleverantör, ska validera DNSSEC-data för toppdomänen i fråga (mer exakt, den cachande namnserver som besökaren använder).

Första punkten är något som förhoppningsvis blir tillgängligt för alla toppdomäner tids nog, men tills vidare så är det åtminstone något man själv kan påverka. Välj en toppdomän som ligger i framkanten, rimligtvis .se.

Den andra punkten är något vi på Loopia kan påverka. Vår målsättning är att tids nog erbjuda DNSSEC som standard för alla domännamn hos oss, men redan i dagsläget så kan man beställa det som tilläggstjänst.

Då till punkt tre, den huvudsakliga punkten med detta inlägg. Hur vet man att ens ISP validerar DNSSEC?

Tidigare har det varit relativt krångligt för de som inte är 100 % insatta i alla intrikata detaljer i DNS. Inte längre. För att göra det enkelt för er som vill kolla hur er ISP hanterar detta så har vi tillverkat en liten banner som visar en av tre bilder här nedanför.

DNSSEC-status hos din ISP

Ser du inte bilden korrekt i din RSS-läsare? Läs då vårt blogginlägg direkt i din webbläsare, det här kräver fancy teknik.

  • Är bilden ovan grön?
    Den namnserver som du använder när du surfar fungerar bra med DNSSEC och verifierar att svaren är korrekta.
  • Är bilen ovan gul?
    DNSSEC används inte för dig, oavsett om domänen har DNSSEC aktivt eller inte.
  • Är bilden ovan röd?
    Någonting mellan dig och oss gör att DNSSEC-domäner över huvud taget inte fungerar för dig. Exempel är gammal nätverkshårdvara som inte stödjer alla relevanta standarder.

Bannern fungerar genom att ladda två icke synliga bilder via DNSSEC-säkrade domännamn. Ett av domännamnen har en fungerande DNSSEC-konfiguration och den andra har en trasig DNSSEC-konfiguration.

Fall ett motsvarar att den första bilden laddades korrekt och att den andra inte laddades.

Detta är vitsen med DNSSEC: felaktigheter – till exempel förfalskad DNS-data innebär att din ISP säger aja baja, datat servern skickar är inte korrekt och levererar ett fel till dig vid webbläsarspakarna, istället för potentiellt felaktigt data.

Fall två (vilket alltså är fallet för de ISP:er som inte aktiverat DNSSEC-validering) innebär att båda bilderna laddas korrekt, trots att den ena hade felaktigt DNSSEC-data.

Fall tre innebär att den första bilden ej laddades trots att den hade helt korrekt konfiguration, vilket innebär att DNSSEC-säkrade domännamn eventuellt inte kommer fungera korrekt för dig.

Det är här du som läsare av vår blogg kommer in. Om du får en gul, eller ännu värre en röd, bild ovan så bör du ringa din ISP, hänvisa dem till vårt blogginlägg och fråga dem när de kommer börja validera DNSSEC-svar för .se-domäner.

Fördelen med att bo i ett litet hemtrevligt land som Sverige är att det endast finns ett fåtal Internetleverantörer. Ett par stora har redan aktiverat DNSSEC-validering och att få de andra att göra det borde vara genomförbart om vi alla bara ligger på lite.

Med alla Internetleverantörer i Sverige med på tåget så kan man i alla fall vara säker på att den överväldigande majoriteten av ens svenska besökare ej kan drabbas av förfalskningar om man som domänägare väljer att aktivera DNSSEC för sitt domännamn (eller väljer en operatör som ordnar det åt en).

Det är en bra bit närmare det brandklassade skyddsrum som vi vill att halmkorgen ska utvecklas till.

Dela detta inlägg:

12 tankar kring ”DNSSEC – din kondom i Gomorra

  1. Jonathan

    Om nu DNSSEC enbart är guld och gröna skogar, hur kommer det sig att Loopia inte använder DNSSEC för sin egen domän loopia.se? Nog måste ni väl kunna signera er egen .se domän, på samma sätt som t ex iis.se och frobbit.se?

  2. Jimmy Bergman

    Det geniala här är ju så klart att vi får data på hur många besökare som inte kan besöka DNSSEC-säkrade sidor.

    Vilket man kan tycka är rimligt data att läsa igenom innan man DNSSEC-säkrar en större hemsida än de du nämner. 🙂

    PS. Jag noterar att ditt webbhotell inte ens erbjuder DNSSEC som tjänst.

  3. Jonathan

    Jag tycker det är bra att ni uppmuntrar era bloggläsare att påverka sina Internetleverantörer till att införa stöd för DNSSEC. Men att påstå att loopia.se skulle ha mer besökare än iis.se, det är en ren lögn (eller okunskap). En enkel jämförelse på alexa.com visar snabbt och tydligt detta.

    Att det webbhotell jag arbetar för inte erbjuder DNSSEC, det är ett medvetet val. Vi vill givetvis inte erbjuda något som inte fungerar. DNSSEC saknar trots allt ett ordentligt stöd i såväl mjukvara, hårdvara och nätverk. Men precis som ni lobbar mot Internetleverantörerna så kämpar jag för DNSSEC-stöd på övriga fronter. Så snart kan vi säkert konkurrera ut er när det gäller DNSSEC också. 😉

  4. Patrik Wallström

    Intressant initiativ. Fast ganska ointressant. De allra flesta domäner som .SE har för olika tjänster är signerade sen över ett år tillbaka, och vår kundtjänst har inte emottagit ett enda klagomål på att våra tjänster inte går att komma åt.

    Fler DNS(SEC)-relaterade tester finns på http://kaminskybuggen.se/

  5. Jimmy Bergman

    Jonathan: Storleksreferensen var ett skämt, självklart uppskattar och berömmer vi alla som tar steget fullt ut. All heder till IIS, Frobbit, m.fl. som gör något istället för att klaga på brister som man inte har data om. Lycka till med konkurrerandet.

    Patrik: Den röda delen av bilden är inte den egentliga meningen med testet. Meningen med testet är att testa hur stor andel av våra besökare från olika internetleverantörer som validerar DNSSEC-resultat. För klagomål angående frånvarande validering så får ni troligtvis inte in några frågor. Jag gillar kaminskybuggen.se, den är också bra – men den belyser inte frånvaron av validering lika tydligt.

    Båda: Att vi sedan får svar att ge till de som säger ”DNSSEC fungerar inte, DNSSEC saknar ordentligt stöd i nätverk” med siffror istället för antaganden är en bra bonus. Och vi kommer dela med oss av siffrorna, så att Jonathan kan ha mer substans i sin DNSSEC-kritik nästa gång (eller kanske rent av sluta vara bakåtsträvare om verkligheten är som Patrik säger)

  6. Tomas K

    Det är inte ointressant.

    Flergånger mer intressant är att självaste root-zonen är på gång att signeras!

    Yes, all heder åt frobbit och Patrik Fältström som är väldigt aktiv inom frågan.

  7. Pontus

    YO DAWG, WE HEARD YOU DIDN’T LIKE OPERA, SO WE PUT ETT ICKE-FUNGERANDE DNSSEC-TEST I DIN BLOGG

  8. Fredrik Berglund

    Pontus: Yo dawg, vår QA-ansvarige (jag) dissade Opera av den enkla anledningen att designen på den är hysteriskt ful i OS X. Däremot har vi nu fixat så testet funkar även i Opera, so thank’s for your comment. Nåt man får ge Opera så är det att den är effektiv, och därför verkar den inte ladda bilder i dolda div:ar varför testet inte kunde genomföras, men detta är nu alltså åtgärdat efter några enkla knapptryckningar.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *