Zoals we recent al schreven komt de KSK-rollover in de rootzone er nu snel aan: op 11 oktober 2018 gaat het gebeuren. Hiermee vervangt ICANN de ‘master key’ van het DNS, de zogenaamde KSK (‘key signing key’). De KSK is belangrijk voor DNSSEC, de DNS-extensie die ervoor zorgt dat de vertaling van een domeinnaam naar een IP-adres veilig verloopt. Resolvers die de nieuwe KSK niet oppikken, kunnen problemen gaan geven. De oude KSK stamt uit 2010.
Tweede poging
De KSK rollover is de eerste in de rootzone ooit en daarom best een spannend moment. Een eerdere poging, nu een jaar geleden, werd uitgesteld vanwege teveel onzekerheden omtrent het foutloze verloop. Maar nu is het vertrouwen groot genoeg en is ICANN vastbesloten om de bijzondere wijziging in het DNS door te laten gaan.
Het besluit om het vorig jaar uit te stellen kwam nadat onderzoek uitwees dat er mogelijk nog teveel DNSSEC validerende resolvers in de problemen zouden komen, omdat ze mogelijk de nieuwe KSK nog niet hadden opgepikt. Na het onderbreken van het rollover-proces werden extra inspanningen verricht om met beheerders van deze resolvers in contact te treden. Hen werd uitgelegd wat er aan de hand was en hoe dreigende problemen konden worden vastgesteld en afgewend.
Outreach
SIDN vindt DNSSEC erg belangrijk voor de veiligheid van het internet en we hebben daarom veel aandacht gegenereerd voor de aanstaande KSK-wijziging via social media en andere communicatiekanalen. We betrokken en informeerden daarnaast ook rechtstreeks onze registrars, de overheid en andere stakeholders.
Daarnaast zochten we rechtstreeks contact met Nederlandse ISP’s die validerende resolvers in gebruik hebben (zie deze grafiek op stats.sidnlabs.nl), om hen te herinneren aan de aanstaande rollover en de mogelijk impact daarvan. Op basis van onderzoeks-data van ICANN hebben we overzichten gemaakt van resolvers waar mogelijk nog iets mis mee was. De partijen daarachter hebben we opnieuw heel expliciet benaderd en verder geholpen.
Het goede en geruststellende nieuws was, dat de meeste partijen prima wisten waar het over ging en veelal al de juiste maatregelen hadden getroffen. Waar nodig stonden we partijen met raad en daad bij. We blijven natuurlijk ook de komende tijd beschikbaar voor alle vragen rondom de KSK roll.
SIDN Labs draagt bij
Ook bij SIDN Labs hebben we op meerdere fronten bijgedragen. Allereerst ontwikkelden we samen met onze onderzoekspartners in het Root Canary-project een tool om het KSK-rollover-proces nauwgezet te monitoren (over de resultaten schrijven we na de rollover een blog). Deze tool zetten we overigens ook in voor rollovers op TLD-niveau, bijvoorbeeld voor .se (Zweden) en .br (Brazilie).
Daarnaast hebben we intern goed gekeken of onze eigen resolvers geschikt zijn voor de transitie en of het automatische rollover mechanisme (RFC5011) overal goed werkt. Hierbij zijn we ook door allerlei zelfgeschreven software gelopen, waarin we de oude KSK nog gebruikten. Onze DNSSEC-validatiemonitor is daarvan een voorbeeld. Hiermee controleren we alle DNSSEC-gesigneerde .nl-domeinnamen dagelijks en stellen we registrars op de hoogte van gevonden DNSSEC-fouten in hun domeinnaamportfolio. (De geaggregeerde output van de validatiemonitor vind je overigens op onze stats-pagina.)
Laatste oproep!
Al met al hebben we alle vertrouwen dat de rollover goed gaat verlopen. Voor nu een laatste oproep aan iedereen die verantwoordelijk is voor een of meerdere DNSSEC validerende resolvers; kijk nog een keer goed of je resolver klaar is voor de KSK-rollover!
Controleer in het bijzonder of jouw AS-nummers en/of IP-adressen niet voorkomen op de speciale lijst die ICANN bijhoudt. Dit is een actuele lijst met resolvers waarvan een vermoeden bestaat dat ze de nieuwe KSK niet hebben opgepikt.
En noteer 11 oktober in je agenda als een datum om extra alert te zijn op DNS-problemen.
Zo maken we de eerste rootzone KSK-rollover ooit dan ongetwijfeld tot een groot succes.
