Chaves mais seguras para o sistema DNS estão prontas, mas para quem usa servidores DNS desatualizados, pode ser um problema

AutorMichael Cooney, Network World/USA

Pronta ou não, a atualização para uma importante operação de segurança da internet poderá ser lançada em breve. A Internet Corporation for Assigned Names and Numbers (ICANN), na livre tradução Corporação para Atribuição de Nomes e Números na Internet, se reunirá na semana de 17 de setembro e provavelmente decidirá se deve ou não dar continuidade ao seu projeto de vários anos para atualizar o par superior de chaves criptográficas usadas no Domain Name System Security Extensions (DNSSEC), ou Extensões de Segurança do Sistema de Nomes de Domínio, na livre tradução, comumente conhecido como “chave de assinatura de chaves da zona raiz” (KSK, na sigla em inglês) – que protege os servidores de base da internet.

 

Alterar essas chaves e torná-las mais fortes é uma etapa essencial de segurança, da mesma maneira que mudar as senhas regularmente é considerado um hábito prático por qualquer usuário da internet, segundo a ICANN. A atualização ajudará a evitar certas atividades nefastas, como invasores que controlam uma sessão e direcionam os usuários para um site que, por exemplo, pode roubar suas informações pessoais.

 

Essa rolagem do KSK da raiz do KSK de 2010 para o KSK de 2017 deveria ter acontecido há quase um ano, mas foi adiada até 11 de outubro de 2018 por causa de preocupações de que poderia atrapalhar a conectividade da internet com um número significativo de usuários.

 

rollover da KSK significa gerar um novo par criptográfico de chave pública e privada e distribuir o novo componente público para as partes que operam a validação de “resolvabilidade universal” (resolvers), de acordo com a ICANN. Esses validadores executam softwares que convertem nomes de sites como networkworld.com em endereços IP numéricos.

Os provedores de serviços de internet fornecem esse serviço, assim como administradores de redes corporativas e outros operadores de resolvabilidade de DNS, desenvolvedores de software de resolução de DNS, integradores de sistemas, e distribuidores de hardware e software que instalam ou enviam a “âncora de confiança” da raiz, afirma a ICANN.

 

A ICANN afirma que espera um impacto mínimo do usuário do KSK raiz, mas uma pequena porcentagem de usuários da internet pode enfrentar problemas na resolução de nomes de domínio em endereços IP – o que significa que os problemas atingem seus destinos online.

 

O problema não é generalizado, mas ainda é uma preocupação. “Atualmente, há um pequeno número de DNSSEC, validando resolvers recursivos que estão configurados incorretamente, e alguns dos usuários que confiam nesses resolvers podem ter problemas”, de acordo com a ICANN em comunicado recente. Os resolvers recursivos recebem uma solicitação de resolução de DNS e localizam o servidor DNS que pode atendê-los.

A Verisign escreveu recentemente que no início deste ano começou a entrar em contato com operadores de servidores recursivos, quando relataram apenas a “âncora de confiança” antiga. No entanto, em muitos casos, uma parte responsável não pôde ser identificada, devido em especial ao endereçamento dinâmico dos assinantes do ISP.

 

Além disso, no final do ano passado, a ICANN começou a receber dados de sinalizadores de “âncoras de confiança” de mais operadores de servidores-raiz, bem como dados de servidores de nomes mais recursivos, à medida que os servidores de nomes recursivos eram atualizados para versões de software que forneciam esses sinais. De acordo com a Verisign, a partir de agora, os percentuais estão relativamente estáveis ​​em cerca de 7% dos reports ainda sinalizando a “âncora de confiança” de 2010.

Então, o que as empresas e outros esperam da rolagem, caso isso ocorra? Em primeiro lugar, a ICANN afirma que os usuários que dependem de um resolver que tem o novo KSK e os usuários que dependem de um resolver que não realiza a validação do DNSSEC não terão qualquer impacto. A análise de dados sugere que mais de 99% dos usuários cujos validadores estão validando não serão afetados pela substituição do KSK, segundo a ICANN.

As empresas já devem ter atualizado seu software para fazer rolloversautomáticos de chaves (às vezes chamados de rollovers “RFC 5011”) ou deverão instalar manualmente a nova chave. Se não tiverem ativado as atualizações automáticas, devem fazê-lo antes do dia 10 de setembro, ou o mecanismo de atualização não será checado corretamente em tempo da rolagem, alertou Paul Hoffman, principal tecnólogo da ICANN.

“Note-se que eles devem fazer a atualização, independentemente de conseguirmos a aprovação para fazer a rolagem em 11 de outubro”, disse Hoffman. “A nova chave já faz parte do conjunto de chaves confiáveis ​​que está sendo anunciado na zona de raiz, por isso deve ser uma ‘âncora de confiança’ para todos.”

 

Um recente artigo da ICANN, O que esperar durante a rolagem do KSK raiz, descreve algumas das preocupações específicas:

Se todos os resolvers de um usuário não tiverem o novo KSK em sua configuração de “âncora de confiança”, o usuário começará a ver falhas de resolução de nome (geralmente “falha de servidor” ou erros SERVFAIL) em algum momento dentro de 48 horas após o rollover. É impossível prever quando os operadores dos resolvers afetados notarão que a validação está falhando para eles.

Quando essa falha acontece, se o usuário tiver vários resolvers configurados (como a maioria dos usuários faz), o software do sistema tentará os outros resolvers que o usuário configurou. Isso pode desacelerar a resolução de DNS, pois o sistema continua tentando o resolver que não está preparado antes de mudar para o resolver que está preparado, mas o usuário ainda obterá a resolução do DNS e poderá nem notar a lentidão.

 

Se todos os resolvers do usuário não estiverem preparados para o rollover (por exemplo, se todos eles forem gerenciados por uma organização e essa organização não tiver preparado nenhum dos resolvers), o usuário começará a apresentar falhas em até 48 horas após a substituição.

 

Os usuários verão diferentes sintomas de falha, dependendo de qual programa estão sendo executados e de como ele reage a pesquisas de DNS com falha. Nos navegadores, é provável que uma página da Web fique indisponível (ou possivelmente apenas imagens em uma página da Web já exibida podem não aparecer). Em programas de e-mail, o usuário pode não conseguir receber novos e-mails ou partes de mensagens podem mostrar erros. As falhas ocorrerão em cascata até que nenhum programa seja capaz de mostrar novas informações da internet.

 

Assim que as operadoras descobrirem que a validação do DNSSEC do seu resolver está falhando, elas devem alterar a configuração do resolver para desativar temporariamente a validação do DNSSEC. Isso deve fazer com que os problemas parem imediatamente.

Depois disso, o operador deve instalar, assim que possível, o KSK-2017 como uma “âncora de confiança” e ativar a validação do DNSSEC novamente. A organização da ICANN fornece instruções para atualizar as “âncoras de confiança” para o software comum de resolução.

 

“Essa mudança de chave não é uma nova tecnologia. Na verdade, quando o primeiro KSK foi adicionado à zona de raiz em 2010, sabíamos que ele teria de mudar em algum momento”, disse Hoffman. “Fazer o rollover ajudará a tornar o DNS mais robusto, preparando o caminho para outras substituições no futuro, conforme forem necessárias.”

Fonte: Security Report