Nieuwe KSK-2024 trust anchor gepubliceerd op website IANA

Het DNSSEC beveiligingsprotocol maakt gebruik van digitale handtekeningen om de authenticiteit en integriteit van DNS-informatie cryptografisch te garanderen. Validerende resolvers kunnen de handtekeningen onder de DNS-records controleren door de vertrouwensketen (een cascade van handtekeningen onder publieke sleutels) helemaal terug te volgen tot aan de root. Daar eindigt deze chain of trust bij de publieke sleutel van het root KSK-sleutelpaar, dat als trust anchor aanwezig is in alle validerende resolvers.

Root KSK rollovers

Eens in de zoveel jaar wordt het root KSK-sleutelpaar vervangen. Dat gebeurt tot nu toe om redenen van doorlopende veiligheid, maar straks ook om het gebruikte cryptografische algoritme een update te geven. Het allereerste sleutelpaar KSK-2010 werd 5 jaar geleden vervangen door KSK-2017 [1]. En in de komende 2 jaar wordt KSK-2017 op zijn beurt weer vervangen door een nieuw sleutelpaar. De bedoeling is om na deze nieuwe rollover een driejaarlijkse cyclus te gaan hanteren.

Voor de volgende rollover – in 2029 dus – staat ook een update van het cryptografische algoritme gepland. Onze eigen Moritz Müller, research engineer bij SIDN Labs, is lid van het Root Zone Algorithm Rollover Study Design Team dat de plannen voor deze transitie ontwikkelt. Deze zomer heeft dat team de eerste studie gepubliceerd.

De eerste vervanging van het root KSK-sleutelpaar door KSK-2017 is destijds veel later begonnen dan men ooit gepland had. Bovendien is het rollover-proces toen ook een jaar stilgelegd om te verifiëren dat alle resolvers inderdaad van het nieuwe trust anchor waren voorzien, voordat het oude sleutelpaar buiten gebruik zou worden gesteld. Die eerste rollover vereiste immers vaak nog handmatige installatie en configuratie om het nieuwe trust anchor op zijn plek te krijgen. Bovendien bevatten de resolvers destijds nog nauwelijks ondersteuning voor RFC 8145 en 8509, die door onderzoekers gebruikt kunnen worden om te meten hoeveel van de resolvers van het nieuwe trust anchor zijn voorzien. [1]

Voor deze nieuwe rollover is de verwachting dat beheerders van validerende resolvers zich veelal kunnen beperken tot het volgen van het 'RFC 5011'-update-proces.

Het nieuwe KSK-2024 trust anchor

Na een valse start in 2023 is begin dit jaar het nieuwe KSK-sleutelpaar voor de rootzone gegenereerd. Afgelopen zomer is dit sleutelpaar naar het tweede datacenter gekopieerd, en nu dus gepubliceerd op de website van IANA. De publieke sleutel van het nieuwe KSK-2024 sleutelpaar (met key tag 38696) ziet er als volgt uit:

. 172800 IN DNSKEY 257 3 8
AwEAAa96jeuknZlaeSrvyAJj6ZHv28hhOKkx3rLGXVaC6rXTsDc449/c
idltpkyGwCJNnOAlFNKF2jBosZBU5eeHspaQWOmOElZsjICMQMC3aeHb
GiShvZsx4wMYSjH8e7Vrhbu6irwCzVBApESjbUdpWWmEnhathWu1jo+s
iFUiRAAxm9qyJNg/wOZqqzL/dL/q8PkcRU5oUKEpUge71M3ej2/7CPqp
dVwuMoTvoB+ZOT4YeGyxMvHmbrxlFzGOHOijtzN+u1TQNatX2XBuzZNQ
1K+s2CXkPIZo7s6JgZyvaBevYtxPvYLw4z9mR7K2vaF18UYH9Z9GNUUe
	ayffKC73PYc=

Controleren

Op 11 januari 2025 wordt deze publieke sleutel ook als DNSKEY-record aan de rootzone toegevoegd. Systemen die het nieuwe trust anchor dan nog niet via de software- of distributie-updates hebben binnengekregen, zullen het trust anchor dan veelal zelf automatisch via het 'RFC 5011'-mechanisme binnenhalen.

Pas over 2 jaar – op 11 oktober 2026 – zal het nieuwe KSK-2024 sleutelpaar ook daadwerkelijk gebruikt worden om de rootzone te ondertekenen. Belangrijk is dat resolvers die op dat moment niet het nieuwe trust anchor in gebruik hebben, alle verzoeken naar ondertekende domeinnamen blokkeren.

Loopt de rollover volgens plan, dan kan op 11 januari 2027 het oude KSK-2017 sleutelpaar ongeldig worden verklaard.

We houden je hier op de website op de hoogte van het KSK-2024 roll-over-proces en laten het weten als je de aanwezigheid van het nieuwe trust anchor op je validerende resolvers kunt controleren.