dnssec_for_alla_2

Microsoft gör DNSSEC svårt

Torbjörn Eklöv, Säkerhet i bredbandsnät, Interlan
2009-08-13 IP och infrastruktur 1

Spridningen av DNSSEC går inte så fort som vi hoppas och då Microsofts Server 2008 R2 ska innehålla stöd för DNSSEC så har man sett fram emot att få ett enkelt gränssnitt inbyggt i Windows. Ett bra och enkelt stöd här hade förmodligen gjort att många fler hoppat på tåget att signera och validera DNSSEC.

Även om steget till att signera domäner med BINDNSD tillsammans med OpenDNSSEC, ZKT, DISI eller motsvarande wrappers för signering  inte är tekniskt svårt så finns det många små DNS-operatörer(Webhotell, kommuner med mera) i Sverige som använder Windows på sina DNS’er och som gärna vill fortsätta med den miljön. Men en normal Windowsanvändare som är van vid sina flashiga wizards med ”klick, klick, next, finish” för att göra något i sin server får nog hjärtstillestånd när de ser interfacet runt DNSSEC i Windows 2008 R2. Stödet för signering av zoner i Windows 2008 R2 är så långt ifrån wizards och enkelhet man kan komma och allt cirklar runt kommandot dnscmd.exe. Att använda BIND utan hjälpmedel för signering är klart mycket enklare att förstå än ”the Microsoft DNSSEC-way”. Läs gärna Microsofts dokument ”DNS SVR2008R2 DNSSEC.doc” som beskriver hur man sätter upp en resolver med validering av DNSSEC och hur man signerar domäner i DNS’en.

För signering av domäner krävs det underverk för att de ska användas i stor skala

Signeringen av rooten som(ganska säkert…) kommer att ske under hösten 2009 gör att en Windows server 2008 R2 DNS ganska enkelt kan användas som resolver för validering av DNSSEC. Men för signering av domäner krävs det underverk för att det ska användas i stor skala. Nu pratar .SE och andra som utvecklar OpenDNSSEC att OpenDNSSEC kommer att gå att använda för signering även i Windowsmiljö. Enligt min  uppfattning kommer det att krävas ett väldigt enkelt gränssnitt för att DNSSEC i Windowsmiljön ska spridas i stor utsträckning. Windowsanvändare är av hävd handikappade utan sina enkla wizards!

En annan stor brist i Microsofts 2008 R2 DNS är avsaknaden av stödet för NSEC3. Hur tänkte de här? .org är klart för NSEC3 och alla TLD’er som kör igång DNSSEC använder idag NSEC3. Samtidigt kan de bara signera statiska zoner och inte de dynamiskt uppdaterade som hela Windows AD bygger runt.

Jag tycker att Microsoft har missat totalt i sitt stöd för DNSSEC, det känns lite som att kraven för DNSSEC togs fram på ett julbord eller första måndagen efter semestern för så här bristfälliga brukar inte Microsofts produkter vara. Vi får hoppas att OpenDNSSEC eller någon annan produkt löser en del av mina synpunkter så att det går att använda DNSSEC i Windows Server 2008 R2.

Missa inte! Torbjörn Eklöv ”Vad IPv6 gör för säkerheten”, 3 nov klockan 13.40 på Internetdagarna 2009, Anmäl dig här Gå till programmet.

Etiketter för artikeln

, , , , , , , , ,

Lyssna på texten

Klicka här för att lyssna på texten.

Lämna en kommentar

Svara på en kommentar

obligatoriskt

obligatoriskt

frivilligt

Om du vill ha en personlig visningsbild intill din kommentar kan du fixa en sådan på gravatar.com. Gratis och enkelt.

Kommentarer

Ingen har kommenterat artikeln ännu.

Bloggat om artikeln

  • Will Microsoft have enough time? | Internetdagarna
    2010-01-27, klockan 09:00

    [...] friendly support for DNSSEC in Microsoft’s Server 2008 R2. During the period just after I posted the previous entry I had a dialogue with Microsoft, but during the last months there has been no word at [...]