Snart dags för byte av ZSK-nycklar för Rootzonen

2016-09-28
Sedan mitten av 2010 har Rootzonen för DNS på Internet använt sig av DNSSEC för att signera själva Rootzonen och dess innehåll.

Inom kort kommer Rootzonen att byta ZSK-nycklar (de nycklar som används för att signera zonen ifråga och dess innehåll) och samtidigt gå över till 2048 bitars RSA-nycklar, till skillnad från dagens 1024 bitars nycklar. Därmed blir ZSK av samma typ och bitlängd som befintliga KSK-nycklar (de nycklar som används för att signera ZSK-nycklar och agerar tillitsankare för zonen ifråga).

De nya ZSK-nycklarna är sedan tidigare framtagna under en nyckelceremoni och signerades av Rootzonens KSK i våras men övergången till de nya ZSK-nycklarna sker nu inom kort.

Bytet sker 2016-10-01 och ZSK-nycklar kommer att rullas en gång per kvartal tills vidare.

De som berörs av detta byte inkluderar:

  • Samtliga parter som driftar DNS-servrar med en instans av Rootzonen
  • Samtliga DNS-resolvrar som kommer i kontakt med Rootzonen SAMT använder sig av DNSSEC för att validera svar från Rootzonen ELLER tar emot DNSSEC-signerade meddelanden utan att validera signaturer.

 

Ovanstående berörs av att övergången till längre ZSK kommer innebära att mer data kommer att kommuniceras vid varje DNS-svar från en DNS-server som är auktoritativ för Rootzonen. Beroende på vad en DNS-resolver frågar efter kan den totala datamängden gå över gränsen för vad som kan hållas inom ramarna för ett UDP-paket och därmed leda till fragmenterade paket och/eller att DNS-resolvern tvingas gå över till TCP för aktuell DNS-fråga.

IPv4 har typiskt lägre gränsvärden innan fragmentering sker jämfört med IPv6, var gränsen går är konfigurerbart i de flesta TCP/IP-stackar som används nuförtiden men det är en god idé att låta åtminstone 1300 bytes eller mer passera genom berörda TCP/IP-stackar för att undvika att fragmentera ett DNS-svar från Rootzonen. Man bör vara observant på att vissa typer av DNS-frågor kan komma att leda till fragmenterade paket ju längre gränsvärde som används, t.ex. DNS-frågor efter SOA.

Notera att detta alltså berör SAMTLIGA TCP-IP-stackar som passeras i samband med en DNS-fråga/svar, t.ex. brandväggar och proxyfunktioner.

Den som på ett enkelt sätt via en webbläsare önskar testa sin förmåga att göra DNS-uppslag mot olika DNS-domäner där olika storlekar på ZSK-nycklar används kan använda sig av detta verktyg från Verisign: http://keysizetest.verisignlabs.com/

Den som stöter på problem uppmanas kontakta Verisign på info@verisign-grs.com. Vi på Certezza är självklart också behjälpliga vid behov, via sales@certezza.net.