DNSSEC

Att arbeta för Internets bästa

av

Jag arbetar för en svensk Internetstiftelse.

Det är en mening som, för inte alltför många år sedan, hade varit otänkbar för mig.

Jag har en bakgrund från flera av Sveriges största webbhotell och domänleverantörer, såsom Loopia och Binero. Jag har drivit framgångsrika webbprojekt, omprofilerat en av webbhotellsbranschens äldsta aktörer samt etablerat en helt ny typ av tjänsteleverantör i Sverige.

Gemensamt för alla mina tidigare uppdrag och arbetsgivare är att de har varit mindre verksamheter, eller ”start-ups”. Små team med enkla processer och snabba beslut. Fokus har alltid varit att maximera vinst och resultat, att nå en så stor målgrupp som möjligt med så enkla medel som möjligt.

Nu arbetar jag sedan några veckor tillbaka på Netnod.

– Vad är Netnod?

Många läsare av min blogg känner nog till Netnod, men för de som inte gör det så är det ett dotterbolag till Stiftelsen för Telematikens utveckling (TU-stiftelsen), som bl a driver de centrala knytpunkterna för Internet i Sverige på ett neutralt och självständigt sätt.

Netnods syfte, enkelt uttryckt, är att göra Internet bättre. Den vinst som genereras i verksamheten investeras i verksamheten. Netnod bidrar på många olika sätt till Internet, med allt från bidrag till forskning och standarder samt utveckling och förstärkning av samhällskritisk infrastruktur.

Netnod hanterar I-root, en av 13 st root-namnservrar (för hela Internet) och ansvarar för tiden i Sverige. Netnod har ett globalt anycast-nätverk som hanterar ett stort antal toppdomäner och har nyligen introducerat en primär DNS-tjänst, samt blivit registrar för .se och .nu domäner.

Det är här jag kommer in i bilden.

– Hur gick det här till?

Det finns få människor i Sverige med den erfarenhet, kunskap och nätverk som jag har inom DNS och domännamn. Jag brukar skoja och säga att jag har sålt flest domännamn i Sverige, men tjänat minst på det. Det är nog inte så långt från sanningen ändå.

DNS och domännamn är ett stort intresse, snudd på en passion, för mig.

När vi på Loopia en gång i tiden dumpade priset på .se domäner, samt kritiserade Internetstiftelsens affärsmodell, prissättning och transparens, så var det inte bara för att kunna sälja fler domännamn. Det var även ett sätt att demokratisera och tillgängliggöra Internet för fler människor.

Runt år 2000 kostade en .com domän $6 USD, medan en .se domän kostade nästan en tusenlapp.

Detta låg till grund för en ny branschorganisation, Registrars.se, som bidrog till en ny affärsmodell för Internetstiftelsen, registrarer och domäninnehavare. Det gav även en rejäl sänkning av priset på .se domäner samt bidrog till större transparens inom Internetstiftelsens finansiella satsningar.

Med facit i hand gjorde vi rätt. Men det var en svår process, under en lång tid, med mycket arbete och dessvärre konflikter därtill. Att skilja på sak och person är inte alltid så enkelt, särskilt med stora personliga engagemang.

När jag lämnade Loopia för Binero så var jag ordförande för Registrars.se. När jag lämnade Binero, som blev näst störst på .se domäner, så ville jag inte ha något med domännamn att göra. Och jag ville verkligen, verkligen inte arbeta för en svensk Internetstiftelse.

Men så kom livet emellan. Och nu är jag åter i domänbranschen. På en Internetstiftelse dessutom.

– Vad gör jag på Netnod?

Jag arbetar med DNS och domännamn. DNS är ett område där Netnod historiskt sett främst har agerat sekundär DNS, dvs säkerställt driften av Internet och ett stort antal toppdomäner. Nu har Netnod även en primär DNS-tjänst, som jag (och flera andra smarta kollegor) ska utveckla.

Netnod är dock inte en vanligt DNS-leverantör eller registrar. Vi arbetar för Internets bästa.

Det innebär att vi inte konkurrerar med våra partners, andra registrarer eller DNS-leverantörer. Vi vill istället samarbeta, för att kunna säkerställa och förbättra även deras tjänster med vår infrastruktur.

Netnod har haft 100 % tillgänglighet för sina DNS-tjänster, i över 20 års tid. Det är smått otroligt.

Så, om du arbetar med en DNS-tjänst, för en registrar, eller med samhällskritiska webbplatser, hör av dig till oss på Netnod. Eller tipsa dina vänner och bekanta om oss. Ju fler som använder Netnod, desto säkrare och stabilare kommer Internet i Sverige att bli.

Ps, apropå mitt föregående blogginlägg:

Min arbetsdator, med Linux
Min arbetsdator, med Linux

DNSSEC, men till vilken kostnad?

av

Som ni kanske vet så kör jag DNSSEC här på sulo.se sedan ett kvartal tillbaka. Om inte annat så kanske ni har märkt det tack vare att min hemsida inte har fungerat. I slutet av förra månaden låg den t ex nere i närmare en vecka, för alla kunder till Bredbandsbolaget (inklusive mig själv). Liknande avbrott har skett även med andra Internetleverantörer.

Så, är min DNSSEC-signering felaktig? Nej, den är helt korrekt.

Avbrotten har istället orsakats av fel i Internetleverantörernas DNS-resolvrar. Eller för att vara lite mer specifik, en bugg i programvaran BIND 9. Till dess att alla Internetleverantörer har åtgärdat sina DNS-resolvrar så kommer DNSSEC inte att fungera ordentligt. Och det kan ta åtskilliga veckor, månader eller år.

Så DNSSEC fungerar inte, men är det verkligen ett problem? Ja, i Sverige är det faktiskt det.

DNSSEC är ett hjärtebarn, ett högprioriterat projekt hos vår kära toppdomänsadministratör .SE. De har varit aktivt engagerade i utvecklingen av DNSSEC under väldigt lång tid och de vill inget hellre än att alla .se domäner ska köra DNSSEC. Trycket från .SE, gentemot deras registrarer, för att införa DNSSEC är massivt.

Faktum är att .SE har en DNSSEC-kampanj där de belönar sina registrarer, med en ekonomisk ersättning, för de DNSSEC-signerade .se domäner som de kan uppvisa. Denna ersättning sker två gånger om året och även om det inte är några jättesummor för varje DNSSEC-domän så blir det gemensamt ändå en bra slant i en bransch som präglas av obefintliga marginaler (där domännamn säljs för inköpspris).

DNSSEC-kampanjen har gått av stapeln en gång tidigare i år (i slutet av juni). Inför detta arbetade ett flertal registrarer med att införa stöd för DNSSEC och signera samtliga .se domäner hos sig. FS Data var en av dessa registrarer. Vi har, sedan ungefär ett halvår tillbaka, ett fullt fungerande DNSSEC-stöd både på server och systemnivå.

Inför den senaste DNSSEC-kampanjen så arbetade vi hårt med att signera och testa DNSSEC. Under detta arbete råkade vi dock ut för ovan nämnda bugg, vilket fick oss att stoppa vår planerade massignering med DNSSEC. En annan registrar som faktiskt utförde sin massignering, det var Loopia. De fick dock backa snabbt när de upptäckte DNSSEC-buggen.

Och nu till själva kärnan av allt detta:

  • Att .SE stimulerar DNSSEC med ekonomisk ersättning är en bra sak.
  • Att .SE inte informerar sina registrarer om DNSSEC-buggen är riktigt illa.

Ingenstans i informationen från .SE, avseende DNSSEC, har jag sett dem lyfta fram detta problem (och jag har granskat deras utskick ingående). .SE har dock en utmärkt dokumentation av hur man implementerar DNSSEC osv. Men när det gäller buggen, då är det knäpptyst.

Vi närmar oss raskt nästa ekonomiska ersättning i .SE:s DNSSEC-kampanj. När en registrar utför sina massigneringar så sker det ofta utan innehavarnas vetskap (det godkänns via avtal). I värsta fall kan detta leda till att ytterligare 10- eller 100-tusentals .se domäner blir DNSSEC-signerade och slutar fungerautan domänägarnas kännedom.

Det som behöver ske nu, det är att .SE måste se över sin strategi för DNSSEC. Den svenska toppdomänen .se ska inte behöva vara ett stort ”betatest” för DNSSEC. Funktionaliteten måste finnas på plats ordentligt innan DNSSEC trycks ut. Och information om sådana här problem måste gå ut ordentligt till registrarer, DNS-operatörer, Internetleverantörer osv.

Jag gillar DNSSEC som tusan. Men det här är ingen lek. DNSSEC kan kosta mer än det smakar.

DNSSEC – upp som en sol…

av

…och ner som en pannkaka?

Skämt åsido, men den tekniska säkerhetslösningen DNSSEC som vi alla älskar (inklusive undertecknad) tappar i tillväxt. Och det inte bara i Sverige.

Under WHD tog jag del av intressant statistik från eco.de. De utför undersökningar av domänbranschen i flera europeiska länder på årsvis basis. Något som särskilt fastnade från deras presentation, det var inställningen till DNSSEC i Tyskland.

Tyskland är den största domän- och webbhotellsmarknaden i Europa. Den tyska toppdomänen .de är näst störst i världen, med strax över 15 miljoner registrerade domännamn.

När eco.de frågade domänleverantörerna i Tyskland förra året om DNSSEC så svarade 17 % att de erbjöd DNSSEC medan 45 % svarade att de planerade att införa stöd inom 12 månader.

Hur såg det ut ett år senare? Erbjöd 62 % av leverantörerna stöd för DNSSEC?

Nej, ett år senare hade enbart 19 % av domänleverantörerna i Tyskland stöd för DNSSEC.

I Nederländerna och Österrike är intresset för DNSSEC ännu lägre och i Schweiz är det helt obefintligt. Hela rapporten från eco.de finns att läsa här: Registrar-Atlas 2012 (PDF)

Men samtidigt, statistik kan ju ljuga. Så sent som härom veckan publicerade ju ändå IDG en artikel om hur otroligt poppis DNSSEC är just nu. Jorå så att…

Några rader om .SE och DNSSEC

av

Mitt senaste inlägg om .SE och dess registrarer var oväntat uppskattat. Faktum är att jag enbart har fått ett väldigt positiva kommentare, givetvis med undantag för några personer hos .SE. Jag tänkte därför köra en liten favorit i repris och ventilera mina tankar om .SE och DNSSEC.

Igår var jag med på ett seminarium på Internetdagarna som handlade om DNS, hälsoläget på .se-zonen och dess framtid. Förutom sedvanligt DNS-evangelisering, såsom vikten av bra DNS-resolvrar, hur bra anycast är, hur dåliga svenska företag och statliga institutioner är på att hantera sin DNS, så vigdes en del av sessionen åt DNSSEC.

DNSSEC är en helt underbar lösning. Med en helt obefintlig efterfrågan.

En tragisk utveckling

DNSSEC introducerades kommersiellt i början av 2007. Sedan dess har inte ens 5 000 .se domäner säkrats med DNSSEC. Detta trots att .SE inte bara subventionerar DNSSEC, utan t om har betalat sina registrarer en slant för varje DNSSEC-domän. Målsättningen hos .SE är att vi ska ha 50 000 DNSSEC-säkrade .se domäner till årets slut. Jomentjena.

När DNSSEC introducerades så skedde det med en extra kostnad för varje signering. .SE ansåg att DNSSEC skapade ett mervärde som man skulle ta betalt för. DNSSEC var främst ämnat för finansiella och statliga verksamheter, eller företag med ett högre säkerhetstänk.

Jag sålde personligen in den första DNSSEC-domänen till en privatperson (som inte behövde betala något för det), enbart för att jävlas med .SE och denna idiotiska inställning.

Igår förklarade iaf .SE att de numera ser DNSSEC som en naturlig del av .se domänen, som något som helt enkelt bör inkluderas i domänregistreringen. Givetvis inte utan att försöka känga registrarerna en aning för att de har debiterat sina kunder extra för DNSSEC (WTF?!).

Därefter förklarade .SE att deras målsättning är att hela .se-zonen (alla .se domäner) ska vara DNSSEC-signerad fram till 2015. Fr om 2015 kommer man inte kunna registrera en .se domän utan att även DNSSEC-signera den.

Det låter väl fine and dandy? Njae…

  • DNS är förlåtande, det är inte DNSSEC. Enligt hälsorapporten för .se-zonen som .SE släppte igår, så har en femtedel av alla .se domäner allvarliga fel. Detta är fel som ändå, tack vare den förlåtande natur som DNS har, ändå inte orsakar några större problem. Domänerna funkar ändå.
     
    Men med DNSSEC så blir det desto hårdare. Om en DNSSEC-signerad domän inte är korrekt, då kan domänen helt sonika sluta att fungera. Tänk er själva hur skoj det vore om 200 000 .se domäner slutade fungera idag. Det kan bli en verklighet om .SE tvingar fram DNSSEC.

    •  

  • .SE registrar är en sak, DNS-operatör en helt annan. .SE har alltid haft svårt att separera dessa helt olika roller. Detta trots att ett väldigt stort antal av .SE registrarerna inte erbjuder någon DNS-tjänst. De stirrar istället blint på de största aktörerna på marknaden och kräver att alla andra ska anpassa sig i ledet.
     
    Rent konkret så innebär detta att .SE går in och dikterar affärsmodellerna för alla .SE registrarer. Lite som om alla Saabförsäljare helt plötsligt skulle tvingas sälja Volvobilar.

    •  

  • Alla .SE registrarer måste erbjuda en DNS-tjänst. Inklusive .SE Direkt. Du missade väl inte mitt föregående inlägg? .SE Direkt ska enbart agera sista utväg. Nu blir de ”tvungna” att erbjuda en DNS-tjänst.
     
    Vad kommer härnäst – en e-posttjänst, webbtjänst, certifikattjänst? Lyssnar ni PTS?
     
    Efter DNS-seminariet igår hade jag nöjet att få luncha med den person som ansvarar för .SE Direkt. Hon berättade glatt och brett om hur bra det går för dem, vilken nytta deras verksamhet utgör osv. Det var inga dystra utsikter där inte.
     
    Samtidigt har .SE:s VD, enligt utsago från en styrelseledamot hos Registrars.se, skyltat med en avvecklingsplan för .SE Direkt. Han har talat om avtagande tillväxt och gett ”löften” om att .SE Direkt ska försvinna vid ett visst antal registranter.
     
    Huruvida det är SE Direkt eller .SE:s registrarer som förs bakom ljuset av .SE:s VD, det går inte att säga än.

    •  

  • Det här är ett påtvingat, inte efterfrågat, beteende. Det är marknaden som ska styra utvecklingen, inte tvärtom. DNSSEC är ett riktigt prestigeprojekt hos .SE, det är något som de har arbetat med så länge jag kan minnas och ett misslyckande är definitivt ingen utväg för dem.
     
    Men i vägen för DNSSEC:s framgång står en verklighet som .SE uppenbarligen inte har någon aning om. Eller helt enkelt väljer att ignorera.

Det här är bara några korta tankar om vad .SE:s målsättning för DNSSEC kan komma att innebära. Det finns mycket mer att säga om detta, men jag vill fatta mig kort här på morgonen. Och återigen, allt detta är mina personliga åsikter.

Under Internetdagarna har jag tillfrågats och uppmuntrats vara delaktig i utvecklingsarbetet med .SE. Även om jag egentligen har tröttnat på denna cirkus för länge sedan, så har jag beslutat mig för att engagera mig igen. Man kan inte bara klaga utan att faktiskt försöka finna en lösning.

Det må ta hus i helvete igen, men det gör mig inget. .SE ska inte få köra över sina registrarer utan en rejäl strid.

Till det här inlägget accepterar jag kommentarer. Det innebär inte att jag accepterar kommentarer med tvivelaktiga undertoner och personangrepp (vilket har hänt ett flertal gånger tidigare). Så ge mig gärna svar på tal här, via e-post eller under resterande tid av Internetdagarna.

1-Click DNSSEC från Afilias

av

Afilias är ett företag som inte många människor utanför domänbranschen känner till. De är specialiserade på att hantera olika toppdomäner och de hanterar idag, både direkt och indirekt, toppdomäner såsom .org, .info, .mobi, .asia, .me och .in.

afilias_dnssecAlldeles nyligen har de lanserat något som de kallar för 1-Click DNSSEC. Det är en lösning som möjliggör enkel aktivering (och hantering) av DNSSEC för domäner som hanteras genom dem. De första toppdomänerna som erbjuds denna lösning är .org, .info och .gov.

Några fördelar som 1-Click DNSSEC erbjuder är:

  • Automatisk generering av publika/privata nycklar för DNSSEC
  • Sömlös hantering och rotering av nycklar
  • Enkel koordinering med ICANN-ackrediterade registrarer som hanterar domänerna som signeras
  • Distribution av publika nycklar till föräldrazoner och andra viktiga register för DNSSEC

1-Click DNSSEC är ett tillägg till Afilias DNS-tjänst, som förövrigt inte går av för hackor. De erbjuder en demo för 1-Click DNSSEC och så snart jag har fått tillgång till den så kommer jag berätta mer om detta.

Att internationella aktörer har fått upp ögonen för DNSSEC är väldigt positivt. Det ska bli intressant att se om .SE, som länge har profilerat sig som marknadsledare inom detta område, kommer kunna fortsätta ligga steget före. Om jag inte har helt fel så kan detta ändras rätt så snabbt.