Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

.mil top-level domein laat zijn DNSSEC-handtekening verlopen

Gepubliceerd op 10-01-2013

Eervorige week heeft het Amerikaanse Ministerie van Defensie de DNSSEC-handtekening voor het .mil-domein laten verlopen. Als gevolg daarvan waren de systemen onder dit top-level domein een dag lang niet meer bereikbaar voor clients die gebruikmaken van een validerende resolver. In een wereld waarin DNSSEC -validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden.

Wie op tweede kerstdag ergens op het .mil-domein moest zijn, kreeg deze verlopen records terug van de DNS -servers:

mil.                    11585    IN    SOA      CON1.NIPR.mil. HOSTMASTER.NIC.mil. 2012122101 3600
900 1209600 10800
mil.			21600    IN    RRSIG    SOA 8 1 21600 20121226190349 20121221190349 6510
mil. wg+5tQW12lYQPVCORekGELxZenqhxX2IWDoL/vfK36n/OOmXLJZz8Rdj
jQjKkKx85tZMmOy5f+i+DZLf3o56u6Vopo1elMHg/bWCjDT+VYs67WLd
gcYfLvS+iuEP8sIwRCnGHBfHiQggM5YnD48CSrz0lo2h1DFT+bYYAsxN sbJ7dSA=

Systemen die gebruikmaken van een validerende resolver konden daardoor vanaf woensdag 26 december een dag lang niet terecht bij .mil-domeinen die met DNSSEC zijn beveiligd. Als ergens in de vertrouwensketen (chain of trust) een digitale handtekening (een RRSIG record) is verlopen, zijn immers ook alle onderliggende DNS records niet meer geldig.

Blunder?

Gebruik van het .mil top-level domein (TLD) is voorbehouden aan het Amerikaanse militaire apparaat en daaraan gelieerde organisaties. Het domein werd ruim een jaar geleden ondertekend, als een van de laatste van de originele zeven TLD's.

Hoewel je mag verwachten dat het Amerikaanse Ministerie van Defensie groot belang hecht aan zowel de beveiliging van zijn infrastructuur als de bereikbaarheid van zijn servers, is het maar de vraag of dit als een ernstige blunder mag worden gezien. Dat dit precies in de week tussen kerst en oud- en nieuw gebeurde, is vast niet toevallig. Zoals Bert Hubert, de lead developer van PowerDNS, onlangs op SIDN's relatiedag vertelde heeft elk TLD de afgelopen jaren wel een keer soortgelijke problemen ondervonden met zijn DNSSEC-operatie.

Robuuste operatie

In een wereld waarin DNSSEC-validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden. De validatie van DNSSEC op de caching DNS-servers van de ISP's komt echter nu pas langzaam op gang. Dat betekent wel dat TLD-beheerders de tijd die hen nog rest moeten gebruiken om hun operatie zo robuust mogelijk te maken en zo veel mogelijk waarborgen in te bouwen om dit soort ernstige incidenten te voorkomen.

Terug naar het nieuwsoverzicht

Snel op de hoogte van DNSSEC:

Interessante Case Studies

Universiteit Twente implementeert DNSSEC op compleet vernieuwde DNS-infrastructuur

Voor studenten is dit de ideale manier om hands-on ervaring op te doen

Deze maand heeft de Universiteit Twente de implementatie van DNSSEC afgerond. Daarmee is onder andere het hoofddomein utwente.nl ondertekend en zijn alle resolvers van validatie voorzien. Waar de DNS-infrastructuur voorheen bestond uit twee autoritatieve servers, is die nu vervangen door vijf fysieke en twee gevirtualiseerde systemen, alle gebruikmakend van Bind op Ubuntu Linux. Daarmee worden ongeveer 825 eigen domeinnamen beheerd en bij elkaar zo'n 30 duizend apparaten bediend.

Dit project was onderdeel van de Campus Challenge, een competitie georganiseerd door SURFnet en SIDN. De implementatie van DNSSEC was daar een onderdeel van. Omdat een installatie op basis van Infoblox niet bleek aan te sluiten bij hun manier van werken, heeft de UT ervoor gekozen hun nieuwe DNS-infrastructuur helemaal zelf op te bouwen. Hoewel dat wel een paar maanden vertraging opleverde ten opzichte van de originele planning, was dit uiteindelijk voor zowel beheerders als twee betrokken afstudeerders een veel interessanter en leerzamer traject.