Fornyelse af internettets kryptografi udskydes i sidste øjeblik: Det skal du gøre, hvis du driver en navneserver

Internet-organisationen ICANN skal udskifte den grundlæggende krypteringsnøgle i internettets navne-system. Hvis du ikke er forberedt, ryger internetforbindelsen.

Sikkerheden i internettets telefonbog skal udskiftes.

Organisationen ICANN, der står for at knytte domænenavne og ip-adresser sammen, skal implementere en ny krypteringsnøgle, og dermed skal hele grundlaget for sikker brug af internettet ændres.

Det betyder, at teleoperatører og andre, der driver navneservere skal opdatere deres DNS-software, men der er så mange servere, der stadig ikke er klar, at ICANN bliver nødt til at udskyde hele processen til næste år.

Rodnøglen hos ICANN skulle være udskiftet allerede 11.oktober, men et stort antal teleoperatører og andre serveransvarlige har ikke installeret den nye nøgle endnu.

Der kan være mange grunde til, at teleoperatører ikke har installeret den nye nøgle i deres systemer. Nogen har måske ikke sat deres software korrekt op, og en udbredt software-variant opdaterer tilsyneladende ikke nøglen automatisk, som det ellers er meningen," skriver ICANN.

Ingen internetforbindelse
Den nøgle, der skal udskiftes, er det øverste led i systemet DNSSEC – en sikkerhedsudvidelse til det DNS-system, der betyder, at du kan nøjes med at skrive Computerworld.dk i stedet for en masse tal – ip-adressen.

”Der er ikke nogen sikkerhed indbygget i selve DNS-protokollen. Så DNSSEC sender en signatur med det svar, du får fra en hjemmesides navneserver, som sikrer, at det også rent faktisk kommer fra for eksempel Computerworld.dk,” forklarer Erwin Lansing, der er sikkerhedschef hos DK Hostmaster.

Nøgleskiftet er relevant for alle, der driver en såkaldt rekursiv navneserver, hvilket primært er teleoperatører. Cirka 57 procent af danske internet-brugere benytter DNSSEC, og når du som bruger taster et .dk-domænenavn ind i din browser, er det operatørens rekursive navneserver, der slår domænenavnet op i internettets telefonbog.

Det sker gennem en række led, der noget forsimplet ender hos ICANN, der verificerer, at et givent domænenavn rent faktisk sender dig videre til den ønskede ip-adresse.

For at teleoperatørens navneserver skal kunne bruge ICANNS godkendelse til noget, skal den have rodnøglen installeret i sin software, og det er den rodnøgle, der nu skal skiftes.

Og ifølge Erwin Lansing skal man snarest muligt kontakte sin leverandør af DNS-software for at finde ud af, hvad proceduren er.

"Hvis man driver en rekursiv navneserver, så skal man kontakte sin software-leverandør, der sandsynligvis har en opdatering klar. Hvis de, der driver navneserveren, ikke udskifter nøglen, inden ICANN gør det, så vil de svar, slutbrugerne får, være forkerte. Og så er der i praksis ingen internetforbindelse."

Læs også: Global internet-konference i gang i København: Her er internettets splinternye super-kryptering


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Aldrig før har så mange unge ansøgt en it-uddannelse på Københavns Universitet: "Det er godt for de unge, at de vælger noget, der er brug for i landet"
Datalogisk Institut på Københavns Universitet har sat en ny rekord, når det kommer til antallet af ansøgere til instituttets tre it-uddannelser, der i år stiger med 15 procent. "Det er godt for de unge, at de vælger noget, der er brug for i landet," lyder det fra institutleder.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Det skal dit endpoint detection and response-system kunne
EDR, eller endpoint detection and response, lovede egentlig bedre it-sikkerhed og bedre overblik. Men resultaterne er ikke helt overbevisende. I dette whitepaper kan du læse om nogle af begrundelserne for, at traditionel EDR kan drille – blandt andet et systemerne kæmper med manglende integration af data fra andre kilder. Samtidig får du i dette whitepaper en checkliste for, hvad du kan forvente at dit endpoint detection and response-system skal kunne samt en række relevante use cases.