foral.net nimipalveluihin on nyt mahdollisuus saada nimipalvelun tietoturvalaajennus – DNSSEC

Viestintävirasto on selivittänyt asian artikkelissaan oivallisesti:
Lähde: domain.fi - ficora

DNSSEC (Domain Name System Security Extensions) on nimipalvelun tietoturvaa parantava laajennus.

Nimipalvelussa jokaiselle verkkotunnukselle on annettu oma ainutlaatuinen IP-osoite (esim. 87.239.124.120). DNSSEC on nimipalvelujärjestelmän laajennus, joka varmistaa nimipalvelimelta saatavien tietojen luotettavan alkuperän ja eheyden.

Kun DNSSEC-tietoturvalaajennus on käytössä, saadaan vastaukset nimipalvelukyselyihin digitaalisesti allekirjoitettuina. DNSSEC varmistaa, että nimipalvelukyselyihin saadut vastaukset tulevat oikealta lähettäjältä eikä vastaustietoja ole muokattu. Näin internetin käyttäjät pääsevät juuri sille verkkosivulle, jolle heillä oli aikomus mennä.

Digitaalisen allekirjoituksen luomiseen tarvitaan

  • yksityinen avain, joka on salainen ja ainoastaan omistajan hallussa
  • julkinen avain, joka julkaistaan nimipalvelussa omassa tietueessaan.

Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella.

Havainnollinen kuvaus DNSSECin toiminnasta löytyy Viestintäviraston DNSSEC-esitteestä [PDF, 392 KB]. Verkkoversio.

Tietoturvalaajennuksen käyttöönotto

Verkkotunnuksen haltijaa suositellaan kyselemään DNSSEC-tuesta omalta palveluntarjoajaltaan. Nimipalvelun ylläpitäjä voi ottaa DNSSEC-tekniikan käyttöön allekirjoittamalla verkkotunnuksen tiedot. Tämän jälkeen voi verkkotunnuksen haltija tai palveluntarjoaja lisätä verkkotunnukselle DS-tietueet fi-verkkotunnuspalvelussa. Palveluntarjoaja tarvitsee DS-tietueiden lisäämiseen valtuutusavaimen. Web service -rajapinta tukee myös DS-tietueiden lisäystä ja poistoa. Web service -rajapinta mahdollistaa avainten vaihdon automatisoinnin.

Julkiset avaimet

Fi-vyöhykkeen julkiset avaimet julkaistaan juurivyöhykkeessä. Resolvoivia nimipalvelimia ylläpitävien palveluntarjoajien suositellaan määrittelevän juurivyöhykkeen luottamusankkurin nimipalvelimilleen. Luottamusankkuri löytyy IANAN DNSSEC -sivuilta.

Fi-vyöhykkeen DNSSEC-allekirjoittamisessa käytettävät parametrit

  • tiivistefunktio: SHA-256
  • allekirjoitusalgoritmi: RSA
  • NSEC3
  • Opt-Out
  • Zone Signing Key (ZSK): RSA 1024-bit
  • Key Signing Key (KSK): RSA 2048-bit

KSK-avaimella allekirjoitetaan ainoastaan vyöhykkeen DNSKEY-tietueryhmä. ZSK-avaimella allekirjoitetaan vyöhykkeen muut nimipalvelutietueet, kuten allekirjoitettujen alivyöhykkeiden DS-tietueet sekä FI-vyöhykkeen autoratiiviset tietueet. ZSK-avaimen elinikä on 1 kuukausi ja KSK-avaimen elinikä on yksi vuosi.

Tarkemmat tiedot löytyvät DNSSEC-kuvauksesta [PDF, 110 KB].

Lisätiedot

Lisätietoa DNSSEC-tietoturvalaajennuksesta
fi-domain-tech(at)ficora.fi