EPP 'key relay': een structurele oplossing voor de DNSSEC-verhuisproblematiek
Gepubliceerd op 01-10-2013
Deze zomer is een structurele oplossing voor het verhuizen van DNSSEC -beveiligde domeinen beschikbaar gekomen. Door de EPP-interface van SIDN uit te breiden met het 'key relay' commando kan de verhuizing van een domein worden uitgevoerd zonder dat daarbij de beveiliging wordt onderbroken. Bovendien kan de hele transitie volledig geautomatiseerd plaatsvinden. Registrars en software-leveranciers kunnen deze nieuwe faciliteit direct in hun dashboards en interfaces opnemen en aan hun gebruikers beschikbaar stellen. Daarmee is een belangrijk obstakel voor verdere adoptie van DNSSEC uit de weg geruimd.
Hoewel DNSSEC in Nederland al anderhalf jaar geleden officieel is ingevoerd, is het verhuizen van beveiligde domeinen altijd een probleem gebleven. Je wilt immers dat een eenmaal ondertekend domein niet alleen bij de nieuwe registrar maar ook tijdens de hele overdracht beveiligd blijft.
Uitwisseling sleutelmateriaal
Om dat mogelijk te maken moesten eerst twee problemen opgelost worden. Ten eerste vraagt de overdracht om een uitwisselingsprotocol tussen een hele rits partijen. In het meest uitgebreide geval loopt dat over niet minder dan zes schakels: van de houder via zijn oude service provider en oude registrar naar de registry (in dit geval SIDN), en dan weer terug naar de nieuwe registrar en nieuwe service provider, totdat we uiteindelijk weer bij de domeinnaamhouder zijn aanbeland. In sommige gevallen is er naast de service provider zelfs nog een aparte DNS operator betrokken. Bovendien luistert de synchronisatie van deze acties heel nauw: DNS records en sleutelmateriaal zijn immers aan een precieze geldigheidsperiode gekoppeld.
Het tweede probleem behelst de doorgifte van sleutelmateriaal. Om het betreffende domein ook tijdens de transitie volledig beschermd te houden, zal de nieuwe ZSK vooraf door de oude operator moeten worden ondertekend en worden toegevoegd aan de oude zone-informatie. Er was tot voor kort echter geen communicatiekanaal beschikbaar tussen de registrars dat hiervoor gebruikt kon worden.