DNSSEC ökar säkerheten men även komplexiteten

CC-BY 2.0 Flickr @kylehase

Att en övergång till DNSSEC är något som just nu är något som diskuteras för fullt på bl.a. Internetdagarna 2011 där jag närvarade för några dagar sedan. Att DNSSEC är rätt väg att gå är nog något som ingen ifrågasätter och även så har E-delegationen skrivit om införande av DNSSEC.

Dock så stötte jag problem i helgen då en svensk registrar infört DNSSEC på många av sina .SE-domäner och jag flyttade över till en extern DNS som var Amazon Route 53 i detta fall. Och då blir det problem: för domänen ser då ut att ha DNSSEC men namnservern i detta fall svarar att det inte finns (DS finns men inte DNSKEY) och att stänga av DNSSEC var omöjligt.

Som tur var så kunde jag snabbt flytta över domänen till Frobbit som hjälpte mig.

Läs även mer om DNSSEC hos .SE.

Så vad kan vi lära oss av detta? DNSSEC ökar säkerheten men även komplexiteten och risken för problem ökar då många fel leder till att domänen slutar fungera.

Så här uppenbarade sig mitt problem med SERVFAIL:

dig www.dnssec-failed.org

; <<>> DiG 9.7.2-P2 <<>> www.dnssec-failed.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17692
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org.        IN    A

;; Query time: 108 msec
;; SERVER: 192.168.1.2#53(192.168.1.2)
;; WHEN: Fri Nov 19 16:08:29 2010
;; MSG SIZE  rcvd: 39</pre>

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>