Monday, 23 March 2009

Domena .GOV zniknęła z Internetu na kilka godzin

Sprawdziły się czarne scenariusze, mówiące o tym, że DNSSEC jest jeszcze zbyt niedojrzałą technologią na wdrożenie produkcyjne. O racjonalnym podejściu do DNSSEC w Europie pisałem na blogu: „DNSSEC: Komisja Europejska bardziej rozsądna niż rząd USA” z lutego 2009. Niestety, rząd amerykański okazał się tak przejęty wdrożeniem nowej technologii z pobudek politycznych i po naciskach grupy zwolenników DNSSEC (polecam mój blog „Al-Kaida DNS: bojownicy DNSSEC” z listopada 2008), że zapomniał o audycie bezpieczeństwa i wdrożył technologię, która zawiera oczywiste braki.

Wystarczyły trzy miesiące, aby przekonać się, że na DNSSEC jest jeszcze zbyt wcześnie. I na szczęście przekonali się o tym ci, którzy za wszelką cenę, wbrew zdrowemu rozsądkowi, tę technologię promowali.

15 marca 2009 domena .GOV została dopisana do DLV (DNSSEC Lookaside Validation). Dzięki technologii DLV serwery DNS mogą dokonywać walidacji (sprawdzenia) domen podpisanych (zabezpieczonych w technologii DNSSEC). Amerykanie postanowili jednak użyć algorytmu NSEC3 (NSEC3 RSA SHA1 DNSKEY).

Jak się okazało, BIND, najpopularniejsze oprogramowanie dla DNS, w wersjach do 9.5 włącznie, niestety nie wspiera jeszcze algorytmu NSEC3 RSA SHA1, co objawiało się użytkownikom korzystającym z DNSSEC niepoprawną walidacją domen w domenie .GOV. Innymi słowy, BIND traktował takie domeny jak fałszywe (podpisane sfałszowanym kluczem), zamiast traktować je jako niepodpisane.

Zamiast zwiększenia bezpieczeństwa doszło do sytuacji odwrotnej – poprawnie zabezpieczona domena była traktowana jako fałszywa. Remedium na ten problem było usunięcie domeny .GOV z bazy DLV, co automatycznie powoduje zmniejszenie zaufania do DNSSEC jako technologii walidacji autentyczności wpisów w DNS.

Szczęście w nieszczęściu – mało osób korzysta z DNSSEC i problem dotknął niewielkiej liczby użytkowników Internetu. Problem ten jednak pokazał, że nie warto czasami wdrażać technologii w celach politycznych i jako eksperymentów na żywym organizmie. Na koniec warto życzyć rządzącym, aby na siłę nie wdrażali technologii, tylko po to aby zyskać uznanie w grupie lobbystów.

Słowniczek:

* .GOV = domena najwyższego poziomu dla rządu USA
* DNSSEC = DNS Security Extensions
* DLV = DNSSEC Lookaside Validation
* NSEC3 = NextSECure3