DNS nimipalvelu on Internet-verkon tärkein, mutta vanha, salaamaton ja haavoittuva palvelu. Tähän haasteeseen on kehitetty DNSSEC-laajennus, mutta kannattaako yrityksen allekirjoittaa digiliiketoiminnan tärkeimmät toimialuenimet (yritys.fi tai yritys.com)? – Kyllä ehdottomasti, jos yritykselle on kriittisen tärkeää suojata verkkotunnustesi yhdistäminen IP-osoitteeseen. Kyllä, jos pidät tärkeänä suojata DNS-vyöhyke häiriöiltä ja manipuloinnilta tai ainakin haluat havaita sellaisen. Kyllä, jos käsittelet GDPR alaista tietoa. DNSSEC on avain turvalliseen digitaaliseen liiketoimintaan.
Sokea luottamus Web-palvelun sertifikaattiin
Polku URL-osoitteen tunnistamisen näytöllä, sen napsauttamisen ja uskomisen välillä, että esitetty tulos on todella aito palvelu, jota käyttäjä oli aikonut käyttää, vaatii melkoisen määrän sokeaa luottamusta. Luotamme että nimen DNS-kartoitus IP-osoitteeseen on aito, luotamme, että reititysjärjestelmä välittää IP-paketit ”oikeaan” päätepisteeseen, luottaen siihen, että nimen esittäminen näytölläsi on itse asiassa sen palvelun nimi, johon aiot mennä, luottaen että TLS-yhteys on aito, ja luottaen siihen, että ihmiset eivät koskaan valehtele. Aika paljon luottamusta. Tämän takia mm Traficom suosittelee DNSSEC.
DNSSEC lisää digitaalisen allekirjoituksen DNS-resurssitietueisiin, jolloin asiakasratkaisija (DNS resolver) voi halutessaan määrittää DNS-vastauksen aitouden. Huolimatta suosituksesta, DNSSEC käyttöönotto on ollut Suomessa laimeaa. Rekursiivisten DNS-ratkaisijoiden operaattorit ovat haluttomia lisäämään ratkaisuvaiheita pyytääkseen DNS-tietueiden digitaalisia allekirjoituksia ja vahvistaakseen ne, ja hyvin harvoilla reunan tynkäratkaisijoilla on vaaditut toiminnot.
SSL/TLS ei yksin riitä turvalliseen digiliiketoimintaan
Nykyinen luottamusrakenne perustuu verkkotunnuksen X.509 julkisen avaimen varmenteisiin, jotka yrittävät luoda yhteyden verkkotunnuksen, sen haltijan ja julkisen ja yksityisen avainparin välille. Ongelmana tässä on se, että kaikki tämä kuulostaa paljon paremmalta kuin se todellisuudessa on. Luotettuja varmenteiden myöntäjiä on satoja (ja jopa ilmaisia), ja jokainen näistä myöntäjistä pystyy lyömään julkisen avaimen varmenteen mille tahansa verkkotunnukselle. Jos jokin näistä sertifikaattien myöntäjistä vaarantuu ja myöntää väärennettyjä varmenteita, näitä väärennettyjä varmenteita ei voida erottaa kaikista muista myönnetyistä sertifikaateista. Jos sertifikaatin myöntäjä sisältyy asiakkaan liikkeeseenlaskijoiden luottamuskokoelmaan, asiakas luottaa ehdoitta tähän liikkeeseenlaskijaan ja hyväksyy kaikki sen myöntämät sertifikaatit aitoina ilman ehtoja.
Meillä on siis ”heikoin lenkki” -tilanne, jossa ei ole väliä, kuinka hyvää työtä verkkotunnuksen haltijan käyttämä varmenteen myöntäjä tekee. On tärkeää kiinnittää huomiota vähiten luotettavien sertifikaattien työn laatuun; Jos ne vaarantuvat, ne voidaan pakottaa myöntämään väärennetty varmenne mille tahansa verkkotunnukselle.
DNSSEC käyttöönoton verukkeet ja ratkaisut
DNSSEC-laajennuksen käyttöönoton puolesta ja vastaan on paljon teknisiä argumentteja. Listaan muutaman yleisimmän ratkaisuineen menemättä syvälle tekniikkaan.
1. Avaintenhallinta on manuaalisen DNS-ylläpitäjän painajainen. Mikäli vanha DNS-palvelu ei sisällä automaatiota DNSSEC käyttöönottamiseksi, kannattaa harkita palveluntarjoajan vaihtoa. Tämä on rastiruutuun toiminto helpoimmillaan.
2. Vanha DNS-infrastruktuuri ei kestä kuormitusta tai hidastuu merkittävästi. Pilvilaskenta on ratkaissut tämän vuosikymmen takaperin. Julkinen DNS ja sen data on nimensä mukaisesti julkisessa verkossa asiakkaille tarkoitettua. Pilvi sopii tähän erinomaisen hyvin. Pilvessä on myös helpompaa toteuttaa tehokas DDoS hyökkäysten suojaus.
3. Laajennuksen pakettikoko ja MTU ylittyminen UDP-protokollassa. Suuremmat vastaukset aiheuttavat suorituskyvyn ja latenssin kasvamisen riskin. Periaatteessa sama ongelma näkyy korkeana siirtoviiveenä HTTPS-liikenteessä, koska markkina on laiskuuttaan (tai automaation puutteessa) jämähtänyt uusimaan ikuisesti sertifikaatit RSA 2048-bit avaimilla. Elliptic Curve (ECDSA sertifikaatit) on paljon kehittyneempi salausalgoritmi ja avaimet lyhyempiä vastaavalla suojaustasolla. (256-bit vs 3072 bit). Tällä on merkitystä, koska DNSSEC tallentaa ja lähettää sekä avaimet että allekirjoitukset.
4. DNSSEC nostaa hieman kustannuksia. Kyllä, mutta DNS automaatio kokonaisuudessaan laskee manuaalisen DNS-, Domain- ja sertifikaatinhallinnan eli asiantuntijatyön kustannuksia. Se myös suojaa brändiä väärinkäytöksiltä, jolle on vaikeaa laskea hintaa.
Johtopäätös
Ilman Internetin turvallista ja luotettavaa nimi-infrastruktuuria digitalisaation ja Internet näkymät eivät näytä hyvältä. DNSSEC ei ole täydellinen vastaus tähän, mutta se on olennainen osa turvallista ja luotettavaa Internetiä. Se on meille riittävä syy hyväksyä ja ottaa se käyttöön. Apple näyttää tässä uutta suuntaa. Apple IOS 16 ja MacOS Venture saivat DNSsec Client tuen jo vuonna 2022. DNSSEC on avain turvalliseen digitaaliseen liiketoimintaan.
Jos haluat kehitysehdotukset ulkoisen DNS ja domain automaatioon, kysy lisää.
Hannu Rokka, Senior Advisor
5Feet Networks Oy