DNSSEC, men till vilken kostnad?

Som ni kanske vet så kör jag DNSSEC här på sulo.se sedan ett kvartal tillbaka. Om inte annat så kanske ni har märkt det tack vare att min hemsida inte har fungerat. I slutet av förra månaden låg den t ex nere i närmare en vecka, för alla kunder till Bredbandsbolaget (inklusive mig själv). Liknande avbrott har skett även med andra Internetleverantörer.

Så, är min DNSSEC-signering felaktig? Nej, den är helt korrekt.

Avbrotten har istället orsakats av fel i Internetleverantörernas DNS-resolvrar. Eller för att vara lite mer specifik, en bugg i programvaran BIND 9. Till dess att alla Internetleverantörer har åtgärdat sina DNS-resolvrar så kommer DNSSEC inte att fungera ordentligt. Och det kan ta åtskilliga veckor, månader eller år.

Så DNSSEC fungerar inte, men är det verkligen ett problem? Ja, i Sverige är det faktiskt det.

DNSSEC är ett hjärtebarn, ett högprioriterat projekt hos vår kära toppdomänsadministratör .SE. De har varit aktivt engagerade i utvecklingen av DNSSEC under väldigt lång tid och de vill inget hellre än att alla .se domäner ska köra DNSSEC. Trycket från .SE, gentemot deras registrarer, för att införa DNSSEC är massivt.

Faktum är att .SE har en DNSSEC-kampanj där de belönar sina registrarer, med en ekonomisk ersättning, för de DNSSEC-signerade .se domäner som de kan uppvisa. Denna ersättning sker två gånger om året och även om det inte är några jättesummor för varje DNSSEC-domän så blir det gemensamt ändå en bra slant i en bransch som präglas av obefintliga marginaler (där domännamn säljs för inköpspris).

DNSSEC-kampanjen har gått av stapeln en gång tidigare i år (i slutet av juni). Inför detta arbetade ett flertal registrarer med att införa stöd för DNSSEC och signera samtliga .se domäner hos sig. FS Data var en av dessa registrarer. Vi har, sedan ungefär ett halvår tillbaka, ett fullt fungerande DNSSEC-stöd både på server och systemnivå.

Inför den senaste DNSSEC-kampanjen så arbetade vi hårt med att signera och testa DNSSEC. Under detta arbete råkade vi dock ut för ovan nämnda bugg, vilket fick oss att stoppa vår planerade massignering med DNSSEC. En annan registrar som faktiskt utförde sin massignering, det var Loopia. De fick dock backa snabbt när de upptäckte DNSSEC-buggen.

Och nu till själva kärnan av allt detta:

  • Att .SE stimulerar DNSSEC med ekonomisk ersättning är en bra sak.
  • Att .SE inte informerar sina registrarer om DNSSEC-buggen är riktigt illa.

Ingenstans i informationen från .SE, avseende DNSSEC, har jag sett dem lyfta fram detta problem (och jag har granskat deras utskick ingående). .SE har dock en utmärkt dokumentation av hur man implementerar DNSSEC osv. Men när det gäller buggen, då är det knäpptyst.

Vi närmar oss raskt nästa ekonomiska ersättning i .SE:s DNSSEC-kampanj. När en registrar utför sina massigneringar så sker det ofta utan innehavarnas vetskap (det godkänns via avtal). I värsta fall kan detta leda till att ytterligare 10- eller 100-tusentals .se domäner blir DNSSEC-signerade och slutar fungerautan domänägarnas kännedom.

Det som behöver ske nu, det är att .SE måste se över sin strategi för DNSSEC. Den svenska toppdomänen .se ska inte behöva vara ett stort ”betatest” för DNSSEC. Funktionaliteten måste finnas på plats ordentligt innan DNSSEC trycks ut. Och information om sådana här problem måste gå ut ordentligt till registrarer, DNS-operatörer, Internetleverantörer osv.

Jag gillar DNSSEC som tusan. Men det här är ingen lek. DNSSEC kan kosta mer än det smakar.

DNSSEC – upp som en sol…

…och ner som en pannkaka?

Skämt åsido, men den tekniska säkerhetslösningen DNSSEC som vi alla älskar (inklusive undertecknad) tappar i tillväxt. Och det inte bara i Sverige.

Under WHD tog jag del av intressant statistik från eco.de. De utför undersökningar av domänbranschen i flera europeiska länder på årsvis basis. Något som särskilt fastnade från deras presentation, det var inställningen till DNSSEC i Tyskland.

Tyskland är den största domän- och webbhotellsmarknaden i Europa. Den tyska toppdomänen .de är näst störst i världen, med strax över 15 miljoner registrerade domännamn.

När eco.de frågade domänleverantörerna i Tyskland förra året om DNSSEC så svarade 17 % att de erbjöd DNSSEC medan 45 % svarade att de planerade att införa stöd inom 12 månader.

Hur såg det ut ett år senare? Erbjöd 62 % av leverantörerna stöd för DNSSEC?

Nej, ett år senare hade enbart 19 % av domänleverantörerna i Tyskland stöd för DNSSEC.

I Nederländerna och Österrike är intresset för DNSSEC ännu lägre och i Schweiz är det helt obefintligt. Hela rapporten från eco.de finns att läsa här: Registrar-Atlas 2012 (PDF)

Men samtidigt, statistik kan ju ljuga. Så sent som härom veckan publicerade ju ändå IDG en artikel om hur otroligt poppis DNSSEC är just nu. Jorå så att…

Några rader om .SE och DNSSEC

Mitt senaste inlägg om .SE och dess registrarer var oväntat uppskattat. Faktum är att jag enbart har fått ett väldigt positiva kommentare, givetvis med undantag för några personer hos .SE. Jag tänkte därför köra en liten favorit i repris och ventilera mina tankar om .SE och DNSSEC.

Igår var jag med på ett seminarium på Internetdagarna som handlade om DNS, hälsoläget på .se-zonen och dess framtid. Förutom sedvanligt DNS-evangelisering, såsom vikten av bra DNS-resolvrar, hur bra anycast är, hur dåliga svenska företag och statliga institutioner är på att hantera sin DNS, så vigdes en del av sessionen åt DNSSEC.

DNSSEC är en helt underbar lösning. Med en helt obefintlig efterfrågan.

En tragisk utveckling

DNSSEC introducerades kommersiellt i början av 2007. Sedan dess har inte ens 5 000 .se domäner säkrats med DNSSEC. Detta trots att .SE inte bara subventionerar DNSSEC, utan t om har betalat sina registrarer en slant för varje DNSSEC-domän. Målsättningen hos .SE är att vi ska ha 50 000 DNSSEC-säkrade .se domäner till årets slut. Jomentjena.

När DNSSEC introducerades så skedde det med en extra kostnad för varje signering. .SE ansåg att DNSSEC skapade ett mervärde som man skulle ta betalt för. DNSSEC var främst ämnat för finansiella och statliga verksamheter, eller företag med ett högre säkerhetstänk.

Jag sålde personligen in den första DNSSEC-domänen till en privatperson (som inte behövde betala något för det), enbart för att jävlas med .SE och denna idiotiska inställning.

Igår förklarade iaf .SE att de numera ser DNSSEC som en naturlig del av .se domänen, som något som helt enkelt bör inkluderas i domänregistreringen. Givetvis inte utan att försöka känga registrarerna en aning för att de har debiterat sina kunder extra för DNSSEC (WTF?!).

Därefter förklarade .SE att deras målsättning är att hela .se-zonen (alla .se domäner) ska vara DNSSEC-signerad fram till 2015. Fr om 2015 kommer man inte kunna registrera en .se domän utan att även DNSSEC-signera den.

Det låter väl fine and dandy? Njae…

  • DNS är förlåtande, det är inte DNSSEC. Enligt hälsorapporten för .se-zonen som .SE släppte igår, så har en femtedel av alla .se domäner allvarliga fel. Detta är fel som ändå, tack vare den förlåtande natur som DNS har, ändå inte orsakar några större problem. Domänerna funkar ändå.
     
    Men med DNSSEC så blir det desto hårdare. Om en DNSSEC-signerad domän inte är korrekt, då kan domänen helt sonika sluta att fungera. Tänk er själva hur skoj det vore om 200 000 .se domäner slutade fungera idag. Det kan bli en verklighet om .SE tvingar fram DNSSEC.
  •  

  • .SE registrar är en sak, DNS-operatör en helt annan. .SE har alltid haft svårt att separera dessa helt olika roller. Detta trots att ett väldigt stort antal av .SE registrarerna inte erbjuder någon DNS-tjänst. De stirrar istället blint på de största aktörerna på marknaden och kräver att alla andra ska anpassa sig i ledet.
     
    Rent konkret så innebär detta att .SE går in och dikterar affärsmodellerna för alla .SE registrarer. Lite som om alla Saabförsäljare helt plötsligt skulle tvingas sälja Volvobilar.
  •  

  • Alla .SE registrarer måste erbjuda en DNS-tjänst. Inklusive .SE Direkt. Du missade väl inte mitt föregående inlägg? .SE Direkt ska enbart agera sista utväg. Nu blir de ”tvungna” att erbjuda en DNS-tjänst.
     
    Vad kommer härnäst – en e-posttjänst, webbtjänst, certifikattjänst? Lyssnar ni PTS?
     
    Efter DNS-seminariet igår hade jag nöjet att få luncha med den person som ansvarar för .SE Direkt. Hon berättade glatt och brett om hur bra det går för dem, vilken nytta deras verksamhet utgör osv. Det var inga dystra utsikter där inte.
     
    Samtidigt har .SE:s VD, enligt utsago från en styrelseledamot hos Registrars.se, skyltat med en avvecklingsplan för .SE Direkt. Han har talat om avtagande tillväxt och gett ”löften” om att .SE Direkt ska försvinna vid ett visst antal registranter.
     
    Huruvida det är SE Direkt eller .SE:s registrarer som förs bakom ljuset av .SE:s VD, det går inte att säga än.
  •  

  • Det här är ett påtvingat, inte efterfrågat, beteende. Det är marknaden som ska styra utvecklingen, inte tvärtom. DNSSEC är ett riktigt prestigeprojekt hos .SE, det är något som de har arbetat med så länge jag kan minnas och ett misslyckande är definitivt ingen utväg för dem.
     
    Men i vägen för DNSSEC:s framgång står en verklighet som .SE uppenbarligen inte har någon aning om. Eller helt enkelt väljer att ignorera.

Det här är bara några korta tankar om vad .SE:s målsättning för DNSSEC kan komma att innebära. Det finns mycket mer att säga om detta, men jag vill fatta mig kort här på morgonen. Och återigen, allt detta är mina personliga åsikter.

Under Internetdagarna har jag tillfrågats och uppmuntrats vara delaktig i utvecklingsarbetet med .SE. Även om jag egentligen har tröttnat på denna cirkus för länge sedan, så har jag beslutat mig för att engagera mig igen. Man kan inte bara klaga utan att faktiskt försöka finna en lösning.

Det må ta hus i helvete igen, men det gör mig inget. .SE ska inte få köra över sina registrarer utan en rejäl strid.

Till det här inlägget accepterar jag kommentarer. Det innebär inte att jag accepterar kommentarer med tvivelaktiga undertoner och personangrepp (vilket har hänt ett flertal gånger tidigare). Så ge mig gärna svar på tal här, via e-post eller under resterande tid av Internetdagarna.

1-Click DNSSEC från Afilias

Afilias är ett företag som inte många människor utanför domänbranschen känner till. De är specialiserade på att hantera olika toppdomäner och de hanterar idag, både direkt och indirekt, toppdomäner såsom .org, .info, .mobi, .asia, .me och .in.

afilias_dnssecAlldeles nyligen har de lanserat något som de kallar för 1-Click DNSSEC. Det är en lösning som möjliggör enkel aktivering (och hantering) av DNSSEC för domäner som hanteras genom dem. De första toppdomänerna som erbjuds denna lösning är .org, .info och .gov.

Några fördelar som 1-Click DNSSEC erbjuder är:

  • Automatisk generering av publika/privata nycklar för DNSSEC
  • Sömlös hantering och rotering av nycklar
  • Enkel koordinering med ICANN-ackrediterade registrarer som hanterar domänerna som signeras
  • Distribution av publika nycklar till föräldrazoner och andra viktiga register för DNSSEC

1-Click DNSSEC är ett tillägg till Afilias DNS-tjänst, som förövrigt inte går av för hackor. De erbjuder en demo för 1-Click DNSSEC och så snart jag har fått tillgång till den så kommer jag berätta mer om detta.

Att internationella aktörer har fått upp ögonen för DNSSEC är väldigt positivt. Det ska bli intressant att se om .SE, som länge har profilerat sig som marknadsledare inom detta område, kommer kunna fortsätta ligga steget före. Om jag inte har helt fel så kan detta ändras rätt så snabbt.

Kom igen nu Loopia!

Gänget på Loopia är ena smarta och roliga lirare. Av de jag haft kontakt med inom webbhotellsbranschen finns det inte många som knäcker dem vad det gäller deras tekniska kompetens. Därför vill jag ge dem en liten utmaning.

DNSSEC är en bra grej. Det har Loopia förstått och senaste tiden även marknadsfört rätt så bra. Att de har lagt ut källkoden till deras funktion som kontrollerar om en Internetleverantör har stöd för DNSSEC är bra. Att Markus har knackat ihop en WP-plugg för det är ännu bättre.

Men om det är något som måste ske för att DNSSEC verkligen ska kunna slå igenom, om det är något jag har predikat i flera års tid, så är det en tydlig indikation på att en domän använder DNSSEC. Något i stil med hänglåset som visas när man använder en SSL-säkrad hemsida.

Jag förstår att det kan vara lite svårt, särskilt med tanke på att Loopia själva (deras självutnämnda domänkung till trots) inte använder DNSSEC för loopia.se. Men en utmaning är inget som Loopia någonsin backade för, åtminstone inte under min tid där.

Så, fixar ni det? Eller hinner någon annan före Loopia?

Apropå nya funktioner så är Bineros iPhone-app äntligen upplagd i App Store. Att det tar lång tid att få en iPhone-app godkänd av Apple är ingen underdrift. Att Binero hann före Loopia med detta, med tanke på deras iPhone-evangelist, är däremot förvånansvärt.