Artikel top billede

(Foto: leolintang / leolintang)

Fornyelse af internettets kryptografi udskydes i sidste øjeblik: Det skal du gøre, hvis du driver en navneserver

Internet-organisationen ICANN skal udskifte den grundlæggende krypteringsnøgle i internettets navne-system. Hvis du ikke er forberedt, ryger internetforbindelsen.

Sikkerheden i internettets telefonbog skal udskiftes.

Organisationen ICANN, der står for at knytte domænenavne og ip-adresser sammen, skal implementere en ny krypteringsnøgle, og dermed skal hele grundlaget for sikker brug af internettet ændres.

Det betyder, at teleoperatører og andre, der driver navneservere skal opdatere deres DNS-software, men der er så mange servere, der stadig ikke er klar, at ICANN bliver nødt til at udskyde hele processen til næste år.

Rodnøglen hos ICANN skulle være udskiftet allerede 11.oktober, men et stort antal teleoperatører og andre serveransvarlige har ikke installeret den nye nøgle endnu.

Der kan være mange grunde til, at teleoperatører ikke har installeret den nye nøgle i deres systemer. Nogen har måske ikke sat deres software korrekt op, og en udbredt software-variant opdaterer tilsyneladende ikke nøglen automatisk, som det ellers er meningen," skriver ICANN.

Ingen internetforbindelse

Den nøgle, der skal udskiftes, er det øverste led i systemet DNSSEC – en sikkerhedsudvidelse til det DNS-system, der betyder, at du kan nøjes med at skrive Computerworld.dk i stedet for en masse tal – ip-adressen.

”Der er ikke nogen sikkerhed indbygget i selve DNS-protokollen. Så DNSSEC sender en signatur med det svar, du får fra en hjemmesides navneserver, som sikrer, at det også rent faktisk kommer fra for eksempel Computerworld.dk,” forklarer Erwin Lansing, der er sikkerhedschef hos DK Hostmaster.

Nøgleskiftet er relevant for alle, der driver en såkaldt rekursiv navneserver, hvilket primært er teleoperatører. Cirka 57 procent af danske internet-brugere benytter DNSSEC, og når du som bruger taster et .dk-domænenavn ind i din browser, er det operatørens rekursive navneserver, der slår domænenavnet op i internettets telefonbog.

Det sker gennem en række led, der noget forsimplet ender hos ICANN, der verificerer, at et givent domænenavn rent faktisk sender dig videre til den ønskede ip-adresse.

For at teleoperatørens navneserver skal kunne bruge ICANNS godkendelse til noget, skal den have rodnøglen installeret i sin software, og det er den rodnøgle, der nu skal skiftes.

Og ifølge Erwin Lansing skal man snarest muligt kontakte sin leverandør af DNS-software for at finde ud af, hvad proceduren er.

"Hvis man driver en rekursiv navneserver, så skal man kontakte sin software-leverandør, der sandsynligvis har en opdatering klar. Hvis de, der driver navneserveren, ikke udskifter nøglen, inden ICANN gør det, så vil de svar, slutbrugerne får, være forkerte. Og så er der i praksis ingen internetforbindelse."

Læs også: Global internet-konference i gang i København: Her er internettets splinternye super-kryptering



CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?