17 min. lue

DNSSEC: Määritelmä, miten se toimii ja miksi sillä on merkitystä.

Verkkotunnusjärjestelmä DNS toimii internetin puhelinluettelona, joka muuntaa ihmiselle luettavat nimet IP-osoitteiksi miljardeja kertoja päivässä. DNS-tietokantaan tallennetaan kriittisiä DNS-tietueita, kuten IP-osoitteita ja verkkotunnusten peitenimiä, mikä tekee siitä verkkouhkien kohteen. Tämä kriittinen infrastruktuuri suunniteltiin kuitenkin 1980-luvulla ilman sisäänrakennettua suojausta. Perinteinen DNS:n validointi perustui siihen, että vastauksissa käytettiin samaa IP-osoitetta, mikä ei ole turvallista, koska IP-osoitteita voidaan väärentää. DNSSEC:n tarkoituksena on korjata tämä perustavanlaatuinen puute lisäämällä kryptografinen todentaminen järjestelmään, joka alun perin perustui puhtaasti luottamukseen.

DNSSEC pähkinänkuoressa

Domain Name System Security Extensions, joka tunnetaan yleisesti nimellä DNSSEC, tarkoittaa DNS Security Extensions (DNS-turvalaajennukset ), ja se on joukko IETF:n protokollamäärityksiä, joilla DNS-tietoihin lisätään salausmerkkejä. Näiden allekirjoitusten avulla DNS-resolverit voivat tarkistaa, että niiden saamat tiedot ovat todella peräisin arvovaltaisesta lähteestä eikä niitä ole matkan varrella peukaloitu.

DNSSEC:n keskeinen ongelma on yksinkertainen: ilman sitä hyökkääjät voivat syöttää väärennettyjä DNS-vastauksia resolverien välimuistiin. Tämä hyökkäys, joka tunnetaan nimellä DNS cache poisoning, ohjaa käyttäjiä heidän tietämättään haitallisille sivustoille. DNSSEC estää tämän mahdollistamalla tietojen alkuperän todennuksen ja varmistamalla DNS-tietueiden eheyden digitaalisten allekirjoitusten avulla, käyttämällä julkisen avaimen salausta ja vaatimalla DNS-alueiden avainten huolellista hallintaa henkilöitymisen ja tietojen väärentämisen estämiseksi.

Internet Engineering Task Force (IETF) standardoi DNSSEC:n useilla RFC:illä 2000-luvun alussa, mukaan lukien RFC 4033, 4034 ja 4035. Merkittävä virstanpylväs käyttöönotossa oli heinäkuussa 2010, kun ICANN allekirjoitti DNS-juurivyöhykkeen ja loi maailmanlaajuisen luottamusankkurin, joka mahdollisti DNSSEC:n käytännön käyttöönoton maailmanlaajuisesti.

On tärkeää ymmärtää, mitä DNSSEC tekee ja mitä se ei tee. DNSSEC todentaa DNS-tiedot ja vahvistaa, että A-, AAAA-, MX- ja TXT-tietueet ovat aitoja ja muuttumattomia. Se ei kuitenkaan salaa DNS-kyselyitä tai -vastauksia. DNS-liikenteesi pysyy näkyvissä kaikille, jotka voivat tarkkailla sitä. Salaus edellyttää täydentäviä protokollia, kuten DNS over TLS tai DNS over HTTPS.

DNSSEC ei myöskään estä kaikkia DNS-infrastruktuuriin kohdistuvia hyökkäyksiä. Volumetriset DDoS-hyökkäykset voivat edelleen ylikuormittaa DNS-palvelimet allekirjoituksesta riippumatta. DNSSEC ei myöskään voi estää käyttäjiä vierailemasta laillisesti rekisteröidyillä phishing-verkkotunnuksilla, jotka sattuvat näyttämään vakuuttavilta.

DNSSEC:n toteuttaminen voi olla monimutkaista avainten hallinnan ja luottamusketjun luomisen tarpeen vuoksi. Onnistunut DNSSEC-käyttöönotto edellyttää, että myös emovyöhyke ja kaikki ketjun vyöhykkeet on allekirjoitettu.

Useimmat ylätason verkkotunnukset tukevat nykyään DNSSECiä – ICANNin tietojen mukaan yli 1400 aluetunnusta on allekirjoitettu. Toisen tason verkkotunnusten käyttöönotto kertoo kuitenkin eri tarinan. DNSSEC on käytössä vain noin 1-2 prosentissa .com-alueista, kun taas maakoodin aluetunnusten, kuten .nl (Alankomaat) ja .se (Ruotsi), allekirjoitusaste on yli 90 prosenttia pakollisten käytäntöjen vuoksi.

Miksi sinun pitäisi välittää? Koska ilman DNSSECiä jokainen organisaatiosi tekemä DNS-kysely on altis hiljaiselle manipuloinnille. Hyökkääjä, joka myrkyttää resolverisi välimuistin, voi ohjata työntekijäsi tunnuksia kerääville sivustoille tai siepata sähköpostin toimituksen – kaikki tämä ilman, että siitä tulee mitään ilmeisiä varoituksia.

Miten DNS ja DNSSEC sopivat yhteen

Ennen DNSSEC:iin syventymistä kerrataan lyhyesti, miten verkkotunnusjärjestelmä toimii nykyään. Kun kirjoitat URL-osoitteen selaimeesi, tietokoneesi tynkäresolveri ottaa yhteyttä rekursiiviseen DNS-resolveriin – useininternet-palveluntarjoajan, yritysverkon tai julkisen palvelun, kuten Googlen 8.8.8.8.8:n tai Cloudflaren 1.1.1.1.1:n, tarjoaman palvelun. DNS-resolveri käsittelee DNS-kyselyt seuraamalla palvelinten ketjua oikean IP-osoitteen hakemiseksi, mikä takaa tehokkaan ja tarkan ratkaisun.

Harkitse ratkaisua www.example.com. Rekursiivinen DNS-resolveri kysyy ensin yhdeltä 13:sta loogisesta DNS-juurinimipalvelimesta tietoja .com-osoitteesta. Juuripalvelin vastaa viittaamalla Verisignin ylläpitämiin .com-aluetunnuksen palvelimiin. Tämän jälkeen resolveri kysyy .com-palvelimilta example.com-nimestä, ja saa toisen lähetteen example.comin arvovaltaiselle nimipalvelimelle. Lopuksi resolveri kysyy kyseiseltä arvovaltaiselta palvelimelta ja saa varsinaisen A-rekisterin, joka sisältää IP-osoitteen osoitteeseen www.example.com.

Tässä hierarkkisessa järjestelmässä eri DNS-komponentit, kuten resurssitietueet, arvovaltaiset nimipalvelimet ja vyöhykkeiden allekirjoitusavaimet, toimivatyhdessä kunkin DNS-vyöhykkeen hallinnoimiseksi, valvomiseksi ja suojaamiseksi.

Tämä tyylikäs hierarkkinen järjestelmä määriteltiin RFC 1034:ssä ja 1035:ssä vuonna 1987. Ongelma? Klassinen DNS-protokolla suunniteltiin ilman vahvaa todennusta. Vastaukset validoitiin ensisijaisesti vertaamalla lähteen IP-osoitteita ja 16-bittisiä tapahtumatunnuksia –järjestelmä, jota hyökkääjät oppivat hyödyntämään.

Vuoden 2008 Kaminsky-haavoittuvuus osoitti, kuinka haavoittuvainen tämä rakenne oli. Tietoturvatutkija Dan Kaminsky osoitti, että hyökkääjät voivat syöttää väärennettyjä vastauksia resolverin välimuistiin suurella todennäköisyydellä tulvimalla arvauksia yhden kyselyikkunan aikana. Tämä paljastus johti hätäkorjauksiin koko alalla ja nopeutti merkittävästi DNSSECin käyttöönottoa maailmanlaajuisesti.

DNSSEC integroituu laajennuskerroksena, joka kietoutuu olemassa olevan DNS:n ympärille muuttamatta keskeistä kysely-vastausmallia. Allekirjoittamattomat vyöhykkeet toimivat edelleen normaalisti resolvereissa, jotka eivät ole validoivia. Validoivat resolverit suorittavat yksinkertaisesti ylimääräisiä salaustarkastuksia allekirjoitetuille vyöhykkeille. Tämä taaksepäin yhteensopivuus oli ratkaisevan tärkeää DNS-nimiavaruuden asteittaisen käyttöönoton kannalta.

Abstrakti kuva, joka kuvaa maailmanlaajuista verkkoa, jossa on toisiinsa liitettyjä solmuja ja jonka päällä on DNS-tietojen suojausta symboloivia suojakilpiä. Tämä visuaalinen esitys korostaa DNS-suojauksen ja DNSSEC-validoinnin merkitystä DNS-väärennösten ja välimuistin myrkytyksen kaltaisten uhkien torjunnassa.

Keskeiset DNSSEC-käsitteet ja tietuetyypit

DNSSEC ottaa käyttöön useita uusia DNS-resurssitietuetyyppejä, jotka yhdessä luovat todennettavan luottamusketjun. Näiden tietueiden ja niiden välisten suhteiden ymmärtäminen on tärkeää kaikille, jotka työskentelevät allekirjoitettujen vyöhykkeiden parissa.

DNSSEC:n perusyksikkö on resurssitietuejoukko eli RRSet. Tämä on sellaisten DNS-tietueiden ryhmittymä, joilla on sama nimi, tyyppi ja luokka. Yksittäisten tietueiden allekirjoittamisen sijasta DNSSEC allekirjoittaa kokonaisia RRS-sarjoja. Tämä lähestymistapa takaa atomisuuden – et voi peukaloida yhtä tietuetta joukossa mitätöimättä kaikkien tietueiden allekirjoitusta.

RRSIG-tietue sisältää digitaalisen allekirjoituksen, joka kattaa RRSsetin. Jokainen resurssitietueen allekirjoitus luodaan vyöhykkeen yksityisellä avaimella, ja se sisältää metatietoja, kuten allekirjoittajan nimen, voimassaoloajan ja käytetyn algoritmin. Ratkaisijat tarkistavat nämä allekirjoitukset laskemalla uudelleen RRSet-tiedoista hash-arvon ja vertaamalla sitä salattuun allekirjoitukseen.

DNSKEY-tietueessa julkaistaan julkinen avain, jota käytetään allekirjoitusten tarkistamiseen. Nämä tietueet näkyvät vyöhykkeen kärjessä (kuten example.com.), ja ne sisältävät lipukkeita, jotka osoittavat avaimen roolin. Lipun arvo 256 tarkoittaa vyöhykkeen allekirjoitusavainta, kun taas 257 tarkoittaa avaimen allekirjoitusavainta.

DS-tietue eli delegoinnin allekirjoittajatietue luo yhteyden vanhempien ja lapsivyöhykkeiden välille. Se on tallennettu vanhemmalle vyöhykkeelle, ja se sisältää lapsivyöhykkeen julkisen avaimen kryptografisen hashin. Esimerkiksi example.com-sivuston DS-tietue tallennetaan .com-vyöhykkeelle, jolloin resolverit voivat tarkistaa, että example.comin DNSKEY-tietue on aito. Kunkin vyöhykkeen julkinen avain on allekirjoitettu vanhemman vyöhykkeen yksityisellä avaimella, mikä on välttämätöntä DNSSEC:n luottamusketjun luomiseksi. Tällä prosessilla varmistetaan, että luottamus siirtyy vanhemmalta vyöhykkeeltä lapsivyöhykkeelle, jolloin muodostuu turvallinen ja todennettavissa oleva hierarkia.

NSEC- ja NSEC3-tietueet mahdollistavat todennetun olemassaolon kieltämisen. Kun DNS-kyselyssä kysytään nimeä, jota ei ole olemassa, nämä tietueet todistavat, että nimeä ei todella ole, ja estävät hyökkääjiä väittämästä olemattomia nimiä todellisiksi. NSEC ketjuttaa olemassa olevat nimet lajiteltuun järjestykseen, kun taas NSEC3 käyttää salakirjoitettuja hashed-tietueiden nimiä estääkseen vyöhykkeen sisällön helpon luettelemisen.

CDS- ja CDNSKEY-tietueet tukevat automaattista avainten hallintaa. Näiden avulla lapsivyöhykkeet voivat ilmoittaa päivitetyt DS- tai DNSKEY-tiedot vanhemmille vyöhykkeille, mikä vähentää perinteisesti rekisterinpitäjien kanssa tarvittavaa manuaalista koordinointia.

Vyöhykesignointiavaimen (ZSK) ja avainsignointiavaimen (KSK) erottaminen toisistaan ansaitsee erityistä huomiota. ZSK allekirjoittaa tavalliset vyöhyketiedot (A-, AAAA- ja MX-tietueet), kun taas KSK allekirjoittaa vain itse DNSKEY RRSetin. Tämän erottelun ansiosta operaattorit voivat kiertää ZSK:ta usein pitäen samalla vakaamman KSK:n – ja siihen liittyvän DS-tietueen emovyöhykkeellä – muuttumattomana.

Nimijärjestelmän suojauslaajennukset

Name System Security Extensions (NSSE) on kattava joukko protokollia ja standardeja, jotka on suunniteltu vahvistamaan verkkotunnusjärjestelmän (DNS) turvallisuutta. NSSE:n ytimessä on DNSSEC, joka käyttää digitaalisia allekirjoituksia ja julkisen avaimen salausta DNS-tietojen todentamiseen ja niiden eheyden takaamiseen. Näiden järjestelmän tietoturvalaajennusten päätavoitteena on puolustautua uhkia vastaan, kuten DNS-väärennöksiä ja DNS-välimuistin myrkytystä vastaan – hyökkäyksiä, joilla voidaan manipuloida DNS-tietoja ja ohjata käyttäjiä vilpillisille sivustoille.

Hyödyntämällä nimijärjestelmän suojauslaajennuksia verkkotunnusten omistajat voivat varmistaa, että heidän verkkotunnuksiinsa liittyvät DNS-tiedot ovat sekä aitoja että muuttumattomia, kun ne kulkevat internetissä. Tämä saavutetaan käyttämällä julkisen avaimen infrastruktuuria, jossa jokainen allekirjoitettu vyöhyke julkaisee julkisen avaimen, jota resolverit käyttävät DNS-tietueiden digitaalisten allekirjoitusten tarkistamiseen. Tämän ansiosta käyttäjät ja sovellukset voivat luottaa siihen, että verkkotunnusjärjestelmästä saadut tiedot ovat laillisia, mikä auttaa ylläpitämään käyttäjien luottamusta ja suojaa monenlaisilta verkkouhilta.

Miten DNSSEC-validointi toimii päästä päähän -periaatteella

DNSSEC-validointi seuraa DNS-resoluutiopolkua ja rakentaa varmennuksen tunnetusta lähtökohdasta, jota kutsutaan luottamusankkuriksi. Useimmissa resolvereissa tämä ankkuri on juurivyöhykkeen KSK, joka jaetaan IANA:n ja resolveriohjelmistopäivitysten kautta. Kun validoiva rekursiivinen resolveri käsittelee allekirjoitettua verkkotunnusta koskevan kyselyn, se suorittaa salauksen varmentamisen DNS-hierarkian jokaisessa vaiheessa. Resolveri luottaa jo juuren DNSKEY:hen. Tämän avaimen avulla se tarkistaa juurivyöhykkeen RRSIG:n, joka kattaa aluetunnuksen (kuten .com) DS-tietueen. Sitten se hakee .com:n DNSKEY:n ja tarkistaa, että se vastaa DS-hashia. Prosessi jatkuu kohdetunnukseen asti.

Harkitse kyselyä www.example.com täysin allekirjoitetussa ympäristössä. Resolveri tarkistaa:

  • Juuren DNSKEY (luotettu ankkuri) allekirjoittaa .comin DS-tietueen.
  • .com:n DNSKEY vastaa DS-hashia ja allekirjoittaa example.com:n DS-tietueen.
  • example.com:n DNSKEY vastaa sen DS:ää ja allekirjoittaa www:n A-tunnisteen.

Tämä luo katkeamattoman luottamusketjun juuresta pyydettyyn DNS-tietueeseen. Mikä tahansa epäsuhta – virheellinen allekirjoitus, vanhentunut RRSIG tai DS/DNSKEY-hash-virhe – katkaisee ketjun.

Voit tarkkailla validointivirheitä käyttämällä testialueita, kuten dnssec-failed.org, jonka ICANN on tahallisesti konfiguroinut väärin. Validoivat resolverit palauttavat SERVFAILin tälle verkkotunnukselle ja estävät pääsyn kokonaan. Käyttäjille, jotka ovat validoimattomien resolverien takana (edelleen noin 70 prosenttia maailmanlaajuisesti), verkkotunnus ratkaistaan normaalisti, mikä osoittaa, että nykyisessä käyttöönotossa on puutteita.

DNSSEC ei muuta HTTP:n tai SMTP:n kaltaisia sovellusprotokollia. Se vain varmistaa, että sovellusten vastaanottamat IP-osoitteet ja muut DNS-tiedot ovat aitoja ja muuttumattomia. Selain muodostaa edelleen HTTPS-yhteyden normaalisti; DNSSEC vain takaa, että DNS-kyselyvastaukset osoittavat lailliseen palvelimeen.

Kun kyseessä on todennettu olemassaolon kieltäminen, NSEC- tai NSEC3-tietueet todistavat, että kysyttyä nimeä tai tyyppiä ei ole olemassa. Resolveri saa salakirjoitetulla allekirjoituksella varustetun todisteen siitä, mitä nimiä vyöhykkeellä on olemassa, jolloin se voi vahvistaa aukon, jossa kysytty nimi esiintyisi.

DNSSEC-resurssitietueet käytännössä

Tarkastellaan keskeisiä DNSSECiin liittyviä DNS-tietueiden tyyppejä tarkemmin käytännössä.

RRSIG-tietueet luodaan käyttämällä vyöhykkeen yksityistä avainta – tavallisesti tavallisten tietueiden ZSK:ta. Jokaisessa allekirjoituksessa määritetään allekirjoitusalgoritmi (esimerkiksi ECDSAP256SHA256), allekirjoitetun nimen sisältämien merkkien määrä, alkuperäinen TTL-arvo sekä alkamis- ja päättymisajankohdat. Nämä aikaleimat ovat kriittisiä: resolverit hylkäävät allekirjoitukset, jotka ovat voimassaoloajan ulkopuolella, joka on yleensä 30 päivää. Vyöhykeoperaattoreiden on irtisanottava tietueet ennen niiden voimassaolon päättymistä, jotta vältytään validointihäiriöiltä.

DNSKEY-tietueet näkyvät vyöhykkeen kärjessä, ja ne voivat sisältää useita avaimia siirtymäkausien aikana. Flag-kentässä erotetaan avainroolit: 257 tarkoittaa KSK:ta, jossa SEP-bitti (Secure Entry Point) on asetettu, kun taas 256 tarkoittaa ZSK:ta. Avaintunniste – 16-bittinen tunniste, joka lasketaan avaintiedoista – auttaa resolvereita yhdistämään DNSKEY-tietueet nopeasti vastaaviin DS-tietueisiin.

Vanhemman vyöhykkeen DS-tietueet sisältävät lapsivyöhykkeen KSK:n hashin. Tyypillinen DS-tietue sisältää avaintunnisteen, algoritmin numeron, digestin tyypin (yleensä SHA-256) ja itse digestin. DNSSEC-validoinnin aikana resolverit hakevat lapsen DNSKEY:n, laskevat hashin ja vertailevat sitä. Epäsuhta tuottaa BOGUS-tilan, jolloin validointi epäonnistuu.

NSEC-tietueet käyvät läpi vyöhykkeen nimet kanonisessa järjestyksessä. Kukin NSEC osoittaa seuraavaan olemassa olevaan nimeen ja luetteloi kyseisessä nimessä olevat tietuetyypit. Tämä todistaa, ettei vyöhykettä ole olemassa, mutta altistaa vyöhykkeen sisällön ”vyöhykekävelylle” – hyökkääjät voivat luetella jokaisen nimen seuraamalla ketjua.

NSEC3:ssa vyöhykkeiden kulkeminen ratkaistaan käyttämällä nimien hassing-toimintoa suolan ja iteraatioluvun avulla ennen ketjuttamista. Vaikka tämä estää triviaalin luetteloinnin, päättäväiset hyökkääjät voivat silti murtaa ennustettavia nimiä offline-tilassa. Opt-out-lippu sallii allekirjoittamattomat delegoinnit muuten allekirjoitettujen vyöhykkeiden sisällä, mikä on hyödyllistä suurilla vyöhykkeillä, joilla on paljon allekirjoittamattomia alavyöhykkeitä.

CDS- ja CDNSKEY-tietueet vastaavat DS- ja DNSKEY-muotoja, mutta ne julkaistaan itse lapsivyöhykkeessä. Vanhemman vyöhykkeen operaattorit voivat kysyä näitä tietueita päivittääkseen automaattisesti delegoinnin allekirjoitustietueet, mikä tehostaa avainten vaihtoa ja DNSSEC:n alkuperäistä käyttöönottoa.

DNS-tietueiden ryhmittely

DNSSEC-toteutuksen olennainen osa on DNS-tietueiden ryhmittely resurssitietuejoukkoihin (Resource Record Sets, RRSets). RRSet on kokoelma DNS-tietueita, joilla on sama nimi ja tyyppi vyöhykkeessä. Sen sijaan, että DNSSEC allekirjoittaisi jokaisen yksittäisen tietueen, se allekirjoittaa koko RRS-sarjan yhdellä RRSIG-tietueella. Tämä lähestymistapa virtaviivaistaa DNS-tietojen allekirjoittamis- ja validointiprosessia, mikä tehostaa sekä verkkotunnusten omistajien että validoivien resolverien toimintaa.

DNS-tietueiden ryhmittely RRSets-joukkoihin ei ainoastaan yksinkertaista DNSSEC-toteutusta vaan myös parantaa DNS-infrastruktuurin hallittavuutta. Kun johonkin RRSsetin tietueeseen tehdään muutos, koko joukko allekirjoitetaan uudelleen, jolloin varmistetaan, että kaikkien siihen liittyvien DNS-tietojen eheys ja aitous säilyvät. Verkkotunnusten omistajille tämä tarkoittaa, että allekirjoitusten hallinnointi ei ole yhtä monimutkaista ja että DNS-tietueiden väärentäminen tai luvattomat muutokset ovat entistä tehokkaampia. Loppujen lopuksi DNS-tietueiden ryhmittely on paras käytäntö, joka tukee nykyaikaisen DNS-infrastruktuurin skaalautuvuutta ja turvallisuutta.

Vyöhykkeen allekirjoitusavain, allekirjoitustavat ja avainten hallinta

DDNSSEC-avainten hallinnassa on kaksi erillistä roolia. Vyöhykkeen allekirjoitusavain (ZSK ) huolehtii vyöhyketietojen – A, AAAA, MX, TXT ja muiden tavallisten tietueiden – päivittäisestä allekirjoittamisesta. Avaimen allekirjoitusavaimella (KSK ) on rajoitetumpi mutta kriittinen tehtävä: se allekirjoittaa vain DNSKEY RRSet -tietueen, joka luo luotettavan linkin vanhemman vyöhykkeen DS-tietueeseen.

Operaattorit erottavat nämä roolit toisistaan hyvistä syistä. ZSK:n yksityistä avainta käytetään usein, ja sen altistumisriski on suurempi, joten sen vaihtaminen 30-90 päivän välein rajoittaa mahdollisia vahinkoja, jotka voivat aiheutua vaarantumisesta. KSK vaihtuu harvoin – vuosittaintai harvemmin– koska jokainen vaihtaminen edellyttää DS-tietueen päivittämistä emovyöhykkeellä, mikä edellyttää yleensä rekisterinpitäjän koordinointia.

DNSSEC-toteutusta varten on olemassa kolme pääasiallista allekirjoitustapaa:

  • Offline-allekirjoittaminen: Vyöhyke allekirjoitetaan ilmatilassa olevalla koneella tai HSM:llä, minkä jälkeen allekirjoitettu vyöhyketiedosto siirretään arvovaltaisille palvelimille. Sopii parhaiten staattisille vyöhykkeille, joissa turvallisuus on tärkeämpää kuin käyttömukavuus.
  • Keskitetty online-allekirjoitus: Erillinen allekirjoituspalvelu vastaanottaa allekirjoittamattomat päivitykset ja allekirjoittaa ne ennen jakelua arvovaltaisille DNS-palvelimille. Tasapainottaa turvallisuuden ja dynaamisten päivitysten tuen.
  • Lennossa tapahtuva allekirjoittaminen: Viranomaispalvelimet luovat DNSSEC-allekirjoituksia reaaliaikaisesti DNS-pyyntöjen saapuessa. Sopii hyvin dynaamisille vyöhykkeille, mutta lisää avaimen altistumisriskiä, jos palvelimet ovat vaarassa.

Avaimen vaihtaminen vaatii tarkkaa ajoitusta, jotta luottamusketju ei katkea. Vakiomenetelmässä uudet avaimet julkaistaan etukäteen: lisätään uusi avain DNSKEY RRSet -luetteloon, odotetaan välimuistien vanhentumista (yleensä kaksi TTL-jaksoa) ja poistetaan vanha avain. KSK:n siirroissa uuden DS:n on myös levitettävä vanhemman vyöhykkeen kautta ennen vanhan KSK:n poistamista.

Vuoden 2018 root KSK:n kaatuminen osoitti panokset. Laajoista valmisteluista huolimatta noin 0,3 prosenttia resolvereista ei onnistunut päivittämään luottamusankkuriaan, ja he saivat tilapäisiä SERVFAIL-vastauksia. Yksittäisen vyöhykkeen kohdalla tällaiset virheet saattavat vaikuttaa vähäpätöisiltä, muttane vievät verkkotunnuksen käytännössä offline-tilaan käyttäjiltä, joita virheet koskevat.

Valtuuskunnan allekirjoittaja

Delegation Signer (DS) -tietue on DNSSEC:n luottamusketjun kulmakivi, joka yhdistää lapsivyöhykkeen turvallisuuden vanhempaan vyöhykkeeseen DNS-hierarkiassa. DS-tietue sisältää kryptografisesti hashed-version lapsivyöhykkeen avainsignointiavaimesta (Key Signing Key, KSK), ja se julkaistaan vanhemmassa vyöhykkeessä. Näin rekursiiviset resolverit voivat tarkistaa, että lapsivyöhykkeen esittämä DNSKEY-tietue on aito eikä sitä ole peukaloitu.

Luomalla tämän yhteyden DS-tietueen avulla verkkotunnusten omistajat voivat laajentaa luottamuksen emovyöhykkeestä omiin DNS-tietoihinsa ja varmistaa, että jokainen resoluutioprosessin vaihe on validoitu. Tämä mekanismi on olennaisen tärkeä koko DNS-infrastruktuurin eheyden ylläpitämiseksi, sillä se estää hyökkääjiä syöttämästä väärennettyjä DNS-tietoja missä tahansa ketjun vaiheessa. Verkkotunnusten omistajille delegoinnin allekirjoitustietueiden asianmukainen määrittäminen on kriittinen vaihe DNSSECin käyttöönotossa ja verkkotunnusten suojaamisessa DNS-pohjaisilta hyökkäyksiltä.

DNSSEC:n hyödyt ja rajoitukset

DNSSEC:n ensisijainen arvo on DNS-välimuistin myrkytys- ja DNS-huijaushyökkäysten torjunta. Todistamalla vastauksen aitouden kryptografisesti se estää hyökkääjiä ohjaamasta käyttäjiä huomaamatta phishing-sivustoille tai sieppaamasta sähköpostia väärennettyjen MX-tietueiden avulla. Vuonna 2008 ilmennyt Kaminsky-haavoittuvuus osoitti, kuinka tuhoisia tällaiset hyökkäykset voivat olla; DNSSEC tekee niistä pohjimmiltaan tehottomia allekirjoitettuja vyöhykkeitä vastaan.

Perussuojauksen lisäksi DNSSEC mahdollistaa kehittyneet turvallisuussovellukset. DANE (DNS-Based Authentication of Named Entities) antaa verkkotunnusten omistajille mahdollisuuden julkaista TLS-varmenteen tiedot suoraan DNS:ssä TLSA-tietueiden avulla. Näin voidaan varmentaa SMTP-palvelimien tai verkkopalvelujen varmenteet ilman, että tukeudutaan pelkästään perinteisiin varmentajiin. Tällaiset sovellukset edellyttävät todennettua DNS-tietoa – juuri sitä, mitä DNSSEC tarjoaa.

Rajoitukset on yhtä tärkeää ymmärtää:

  • Ei luottamuksellisuutta: DNSSEC todentaa, mutta ei salaa. DNS-kyselyt ja DNS-kyselyvastaukset ovat tarkkailijoiden nähtävissä. Salaus edellyttää DNS over TLS:ää tai DNS over HTTPS:ää.
  • Ei DDoS-suojausta: DNSSEC ei voi pysäyttää DNS-infrastruktuuriin kohdistuvia volumetrisiä hyökkäyksiä. Itse asiassa suuremmat allekirjoitetut vastaukset voivat mahdollisesti pahentaa vahvistushyökkäyksiä.
  • Ei suojaa lailliselta näyttäviltä uhkilta: DNSSEC ei voi estää kirjoitusvirheitä tai sitä, että käyttäjät luottavat harhaanjohtaviin verkkotunnuksiin, jotka on rekisteröity laillisesti ja allekirjoitettu asianmukaisesti.

Suorituskykyyn vaikuttavat muun muassa huomattavasti suuremmat DNS-vastaukset – allekirjoituksetlisäävät noin 500 tavua per RRSet. Tämä aiheuttaa toisinaan TCP:n varautumisen (mikä lisää viiveaikaa) ja lisää kaistanleveyden kulutusta. DNSSEC:llä varustetut avoimet resolverit voivat voimistaa heijastushyökkäyksiä 50-kertaisesti tai enemmän verrattuna tavalliseen DNS:ään.

Näistä kompromisseista huolimatta tietoturvajärjestöt, kuten ICANN ja NIST, suosittelevat DNSSEC:ää arvokkaille verkkotunnuksille. Yleiskustannukset ovat todellisia, mutta julkisissa palveluissa, joissa DNS-väärennökset voivat mahdollistaa vakavia hyökkäyksiä, suojaus oikeuttaa monimutkaisuuden.

Riskit, haasteet ja miksi käyttöönotto on edelleen epätasaista.

DNSSEC aiheuttaa toiminnallisia riskejä, jotka selittävät suuren osan epäröivästä käyttöönotosta. Virheelliset konfiguraatiot – vanhentuneet allekirjoitukset, DS/DNSKEY-virheitä tai virheelliset allekirjoitusketjut – aiheuttavat validointihäiriöitä. Noin 30 %:lla käyttäjistä, jotka ovat validoivien resolverien takana, väärin konfiguroitu vyöhyke yksinkertaisesti lakkaa toimimasta. Ei ole mitään armollista hajoamista; kyselyt palauttavat SERVFAIL-palautteen.

Useat esteet hidastavat DNSSECin käyttöönottoa:

  • Monipuolinen koordinointi: Allekirjoittaminen edellyttää verkkotunnusten omistajien, rekisterinpitäjien ja DNS-isännöintipalvelujen tarjoajien välistä koordinointia. DS-tietueiden on kuljettava rekisterinpitäjien järjestelmien kautta emovyöhykkeelle.
  • Asiantuntemuksen puutteet: Monilla organisaatioilla ei ole DNSSEC-kokemusta. Pelko siitä, että vääränlainen konfigurointi aiheuttaa käyttökatkoksia, estää niitä aloittamasta.
  • Vanha infrastruktuuri: Joissakin yritysympäristöissä on resolvereita tai laitteita, jotka eivät täysin tue DNSSEC-validointia, mikä aiheuttaa yhteensopivuusongelmia.

Adoptiotilastot osoittavat epätasaista edistymistä. DNS:n juurivyöhyke on allekirjoitettu vuodesta 2010 lähtien, ja yli 1 400 aluetunnusta tukee nyt DNSSECiä. Toisen tason käyttöönotto vaihtelee kuitenkin dramaattisesti. .nl-vyöhykkeellä allekirjoitusaste on yli 95 prosenttia, mikä johtuu rekisterin kannustimista ja pakollisista käytännöistä. Sen sijaan .com-alueen osuus on noin 1,5 prosenttia – miljoonatverkkotunnukset ovat edelleen allekirjoittamatta.

APNIC:n mittausten mukaan noin 30 prosenttia DNS-resolverien käyttäjistä suorittaa DNSSEC-validoinnin maailmanlaajuisesti, kun vuonna 2018 vastaava luku oli noin 10 prosenttia. Edistyminen jatkuu, mutta suurin osa loppukäyttäjistä saa edelleen vahvistamattomia DNS-vastauksia.

DNSSEC sisältää myös muita turvallisuusnäkökohtia kuin validointivirheet. Suuret allekirjoitetut vastaukset tekevät arvovaltaisista palvelimista houkuttelevia DNS-vahvistushyökkäysten kannalta. Operaattoreiden on rajoitettava vastausnopeutta ja noudatettava resolverin konfiguroinnissa parhaita käytäntöjä, jotta he eivät joutuisi tietämättään hyökkäysten infrastruktuuriksi.

Merkittävät organisaatiot kannattavat edelleen laajempaa käyttöönottoa. ICANN julkaisee käyttöönotto-oppaita, ja kansalliset kyberturvallisuusvirastot suosittelevat yhä useammin DNSSEC:ää valtionhallinnon ja kriittisten infrastruktuurien verkkotunnuksia varten. Ennusteiden mukaan toisen tason käyttöönotto voi nousta 50 prosenttiin vuoteen 2030 mennessä, kun CDS/CDNSKEY:n avulla tapahtuva automatisointi vähentää toimintakitkaa.

Reaalimaailman toiminnot: DNS-juurivyöhykkeen allekirjoitusseremonia ja luottamusankkurit

DNS:n juurivyöhykkeellä on ainutlaatuinen asema DNSSEC-arkkitehtuurissa. Koska DS-tietueelle ei ole vanhempaa vyöhykettä, juurivyöhykkeen KSK:hon on luotettava kaistan ulkopuolella lopullisena luottamusankkurina. Tämän oikein tekeminen on erittäin tärkeää, sillä kaikkiDNSSEC-luottamusjärjestelyt alkavat täältä.

ICANN järjestää juurisignifiointiseremonioita 4-6 kertaa vuodessa turvallisissa tiloissa Yhdysvalloissa ja Euroopassa. Näihin seremonioihin liittyy poikkeuksellista menettelytapavalvontaa: Laitteiston turvamoduuleissa (HSM) säilytetään pääkäyttäjän yksityinen avain, johon pääsee käsiksi vain, kun useat kryptovirkailijat käyttävät älykortteja ja PIN-koodeja samanaikaisesti. Fyysisiin turvatoimiin kuuluvat väärentämisen estävät pussit, valvotut kassakaapit ja täydellinen videodokumentointi.

Ensimmäinen juurivyöhykkeiden allekirjoitus heinäkuussa 2010 merkitsi DNSSECin siirtymistä teoriasta käytännön maailmanlaajuiseen käyttöön. Vuoden 2018 KSK:n kaatuminen – alkuperäisen vuoden 2010 KSK:n korvaaminen KSK-2016:lla – testasi järjestelmän kykyä päivittää perusluottamusankkuri. Laajoista tiedotustoimista huolimatta noin 0,2 prosenttia ratkaisijoista koki ongelmia, jotka johtuivat vanhentuneesta ohjelmistosta tai kokoonpanosta. Tulevia käyttöönottoja suunnitellaan 2020-luvun puoliväliin mennessä.

Rekursiiviset resolverit saavat juuriluottamusankkurin ohjelmistojakaumien tai IANA:n ylläpitämien automaattisten päivitysprotokollien kautta. Nykyaikaiset resolveriohjelmistot sisältävät yleensä nykyiset ankkurit ja mekanismit päivitysten hakemista varten, mikä varmistaa, että luottamusketju pysyy ehjänä avainten muuttuessa.

Nämä seremoniat saattavat vaikuttaa monimutkaisilta, mutta ne antavat perustellun varmuuden. Juurivyöhykkeen eheys on DNSSEC:n maailmanlaajuinen perusta, ja dokumentoitu, auditoitava prosessi luo luottamusta siihen, että tämä kriittinen infrastruktuuri toimii asianmukaisen tiukasti.

Kuvassa näkyy turvallinen datakeskus, joka on täynnä järjestettyjä palvelintelineitä ja jossa on kehittynyt tietoturvainfrastruktuuri, joka on suunniteltu suojaamaan kriittisiä DNS-tietoja ja varmistamaan järjestelmän tietoturvalaajennukset, kuten DNSSEC-validointi. Ympäristö korostaa DNS-kyselyjen suojaamisen ja verkkotunnusjärjestelmän eheyden ylläpitämisen tärkeyttä.

DNSSEC:n käyttöönotto verkkotunnuksissasi

Oletko valmis ottamaan DNSSECin käyttöön verkkotunnuksillesi? Prosessiin kuuluu useita vaiheita, jotka ulottuvat todentamisesta jatkuvaan ylläpitoon.

Edellytykset vahvistettavaksi:

  • Aluetunnuksesi tukee DNSSECiä (tarkista ICANNin käyttöönottoresurssit).
  • Rekisterinpitäjäsi hyväksyy DS-tietueiden lähettämisen
  • DNS-hosting-palveluntarjoajasi tukee vyöhykkeiden allekirjoittamista ja DNSKEY:n hallintaa.

Monet hallitut DNS-palveluntarjoajat, kuten Cloudflare ja AWS Route 53, hoitavat allekirjoittamisen automaattisesti. Itsehallinnoituja vyöhykkeitä varten tarvitset allekirjoitustyökaluja, jotka ovat yhteensopivia auktoriteettipalvelinohjelmistosi kanssa.

Tyypilliset käyttöönottovaiheet:

  1. Luo ZSK- ja KSK-parit (tai ota käyttöön palveluntarjoajan hallinnoima allekirjoitus).
  2. DNS-vyöhykkeen allekirjoittaminen ja DNSSEC-allekirjoitusten tarkistaminen paikallisesti
  3. DNSKEY-tietueiden julkaiseminen (ja valinnaisesti CDS/CDNSKEY automaattista DS-hallintaa varten).
  4. Lähetä DS-tietueet rekisterinpitäjän käyttöliittymän kautta.
  5. Anna etenemiselle aikaa ja tarkista sitten koko ketju.

Validointi on yhtä tärkeää. Jos organisaatiosi käyttää rekursiivisia resolvereita, ota käyttöön DNSSEC-validointi (esim. dnssec-validation yes BINDissä). Testaa tunnettuja verkkotunnuksia vastaan: oikein allekirjoitettujen sivustojen pitäisi palauttaa AD (Authenticated Data) -lippu, kun taas dnssec-failed.org:n pitäisi palauttaa SERVFAIL.

Parhaat toiminnalliset käytännöt:

  • Seuraa allekirjoituksen vanhentumista: RRSIG:t kestävät yleensä 30 päivää. Automatisoi irtisanoutuminen hyvissä ajoin ennen vanhenemista.
  • Testaa näppäinten kääntöjä: Harjoittele siirtomenettelyä testausympäristössä ennen tuotantoa.
  • Toteuta hälytysjärjestelmä: Määritä DNSSEC-validointivirheiden seuranta resolverissasi.
  • Dokumentoi menettelyt: Selkeät toimintaohjeet ehkäisevät paniikkia häiriötilanteiden tai suunniteltujen siirtojen aikana.

Tarkat käyttöliittymät vaihtelevat rekisterinpitäjittäin ja palveluntarjoajittain, joten keskity mieluummin ymmärtämään taustalla olevia tehtäviä kuin opettelemaan ulkoa tiettyjä painikkeiden napsautuksia. Tavoitteena on ottaa DNSSEC käyttöön aiheuttamatta käyttökatkoksia – huolellinenvalmistautuminen ja testaus tekevät siitä mahdollista.

DNSSEC:n parhaat käytännöt

DNSSEC:n menestyksekäs käyttöönotto vaatii muutakin kuin vain allekirjoitusten käyttöönoton – se vaatii jatkuvaa huomiota yksityiskohtiin ja alan parhaiden käytäntöjen noudattamista. Verkkotunnusten omistajien olisi asetettava etusijalle avainten säännöllinen vaihtaminen avainten vaarantumisen riskin minimoimiseksi ja varmistettava, että kaikki yksityiset avaimet säilytetään turvallisesti, mieluiten käyttämällä laitteiston turvamoduuleja tai muita suojattuja ympäristöjä.

DNSSEC-varmennuksen jatkuva seuranta on tärkeää; tähän kuuluu allekirjoituksen voimassaolon päättymispäivämäärien seuranta ja tietueiden nopea irtisanominen ennen niiden vanhentumista. On myös tärkeää tarkistaa, että kaikki DNS-infrastruktuurin osat – auktoritatiiviset palvelimet, rekursiiviset resolverit ja rekisterinpitäjän rajapinnat – tukevat täysin DNSSEC-toteutusta ja validointia.

Testaus on toinen tärkeä vaihe. Verkkotunnusten omistajien olisi tarkistettava säännöllisesti, että heidän DNS-tietonsa allekirjoitetaan ja validoidaan oikein, käyttämällä työkaluja ja testialueita, joilla voidaan simuloida sekä onnistuneita että epäonnistuneita validointitilanteita. Noudattamalla näitä parhaita käytäntöjä verkkotunnusten omistajat voivat ylläpitää kestävää DNS-infrastruktuuria, suojata käyttäjiään DNS-pohjaisilta hyökkäyksiltä ja varmistaa verkkotunnusjärjestelmänsä jatkuvan eheyden ja luotettavuuden.

Johtopäätökset ja seuraavat vaiheet

DNSSEC muuttaa verkkotunnusjärjestelmän luottamukseen perustuvasta kaikesta arkkitehtuurista digitaalisten allekirjoitusten ja hierarkkisen luottamusketjun avulla tapahtuvan kryptografisen varmentamisen arkkitehtuuriksi, jolla puututaan haavoittuvuuksiin, jotka ovat olleet olemassa siitä lähtien, kun DNS suunniteltiin 1980-luvulla. Suojamekanismit – RRSIG-allekirjoitukset, DNSKEY/DS-kytkennät ja NSEC/NSEC3:n kautta tapahtuva todennettu kieltäminen – estävät DNS-välimuistin myrkyttämisen ja DNS-huijaushyökkäykset, jotka muutoin voisivat ohjata käyttäjiä äänettömästi. Jos olemassa olevat DNS-tietueet sisältävät väärennettyjä DNS-tietoja, validoivat resolverit yksinkertaisesti hylkäävät manipuloidut DNS-tiedot kokonaan.

Toiminnan monimutkaisuudesta huolimatta DNSSEC on kehittynyt merkittävästi vuoden 2010 juurisignoinnin jälkeen. Laaja aluetunnusten tuki, automaation parantuminen CDS/CDNSKEY:n avulla ja resolverien validointimäärän kasvu ovat kaikki osoitus vauhdista. Merkittävät tietoturvajärjestöt suosittelevat sitä verkkotunnuksissa, joissa väärentäminen voi aiheuttaa vakavaa haittaa.

DNS-infrastruktuurista vastaavien henkilöiden käytännön jatkotoimet ovat seuraavat:

  • Inventoi, mitkä verkkotunnukset ja vyöhykkeet on tällä hetkellä allekirjoitettu.
  • Suunnittele DNSSEC:n vaiheittainen käyttöönotto alkaen kriittisistä julkisista palveluista.
  • Ota DNSSEC-validointi käyttöön sisäisissä resolvereissa mahdollisuuksien mukaan.
  • Ota käyttöön seuranta- ja reagointimenettelyt DNSSEC-virheiden varalta.

Muita oppimisresursseja ovat DNSSEC:n keskeiset RFC:t (4033, 4034, 4035), ICANN:n ja alueellisten verkkotietokeskusten käyttöönotto-oppaat sekä testausvälineet, kuten Verisignin DNSSEC Analyzer. Tie ymmärryksestä toimintaan on selkeämpi kuin koskaan – ja tietoturvahyödyt oikeuttavat investoinnin.