ENISA: Complexiteit belangrijkste uitdaging bij implementatie DNSSEC

Persoonlijk vind ik DNSSEC nog steeds een ranzige oplossing.

DNS is zo'n geniaal protocol dat in een een piep klein UDP pakketje vertelt wat je nodig hebt.. maar nee, we willen graag een key toevoegen van 1024 bytes (om maar een voorbeeld te noemen) zodat er zeker weten een TCP sessie moet worden gestart en de grootte van het pakketje zeker met een factor 25 zo hoog is..

Daarbij niet vergeten dat meeste hardware het niet ondersteunt. Meeste DNS software geen fatsoenlijke implementatie klaar heeft. Weinig rootzones het ondersteunen en dat het een administratieve hell is.. vergeet ik iets?

ja, als ze op 1 of andere manier iemand (de boefjes) een root zone certifcaat weten te faken of bemachtigen kunnen ze zelf hun request bouwen en heb je er nog steeds helemaal niets aan! DOH

neen, geef mij maar de oplossing van Bernestein DNSCurve:
http://en.wikipedia.org/wiki/DNSCurve
Hierbij word alleen de transport van de request versleutelt en is het implementeren veel beter te doen.. maarja ik zie dit nog niet zo snel gebeuren..

Met de komst van IPv6 ziet het er voorlopig toch naar uit dat het een TCP pakketje wordt.

http://www.serverwatch.com/tutorials/article.php/3723016

22% van de Europese providers ondersteund DNSSEC?!
Wisten deze providers wel waar ze 'ja' op gezegd hebben?
Mij lijkt dat percentage namelijk aan de hoge kant.

@Japje
DNSSEC vereist EDNS0 support om UDP pakketten groter dan 512 bytes te kunnen gebruiken. Dus eender welke resolver die om dnssec records vraagt (dat is een flag die je moet zetten, komt niet automatisch), zal nog steeds UDP gebruiken.

DNSSEC uitrollen gaat meestal in twee stappen. Je begint met de validatie, wat op zich redelijk simpel is. Het grote probleem daar is dat de root nog niet gesigned is. Zolang dat nog niet is gebeurd, zit je met veel trust eilandjes waarvoor je keys moet importeren en up-to-date houden. Maar dit is nog redelijk te doen.

De moeilijkste stap is het signen van de eigen zones. Key management is niet evident en de tools die ervoor beschikbaar zijn, zijn vaak nogal zwak. Er is veel meer onderhoud nodig dan bij standaard DNS. Gezien hoe verbazingwekkend weinig mensen nu al weten over DNS, is de extra complexiteit vaak een groot probleem. Zolang tools dit niet automagisch afhandelen zullen veel bedrijven dat niet gaan uitrollen.

DNSSEC validatie staat op mijn planning voor dit jaar (het is eigenlijk al bijna rond) maar het effectief signen van eigen zones zal toch pas eind volgend jaar zijn. Daartegen zou NSEC3 al beter ingeburgerd moeten zijn en zullen de tools wel volwassener zijn.