DNSSEC prosjektstatus

Her presenteres oppdatert status for DNSSEC-prosjektet.

Prosjektet nærmer seg sin slutt, og under presenteres også utrullingsløpet for DNSSEC.


Innhold:

  1. Prosjektstatus per 17. september 2014
  2. Utrulling av DNSSEC – datoer og innhold
  3. Dokumentasjon
  4. DNSSEC i testsystemet

I. Status (per 17. september 2014)

All funksjonalitet for fase 1 og 2 er utviklet og har kjørt lenge i vårt testmiljø, og deler av dette har også kjørt en stund i produksjon. Tilhørende teknisk dokumentasjon er også tatt fram, se III.

Testsystemet for registrarer har tilbudt DNSSEC-funksjonalitet siden januar, se IV.

Usignert pipeline har kjørt i produksjon i arbeidstiden siden 17. desember 2013, og ble utvidet til å stå i full 24/7-produksjon fra 4. september 2014.

sj-sonen, som ikke har delegeringer og derfor har egnet seg for test av signeringsmaskineri og rutiner, er kjørt i signert produksjon siden mai 2014. Dette har vært en viktig del av i fase 1 testingen.

Full fase 1 og fase 2 med DNSSEC funksjonalitet har i parallell kjørt i internt testmiljø i en del måneder.

Det pågår fortsatt noe arbeide med å sluttstille interne rutiner samt noe informasjonsmateriell, men disse oppgavene vil bli fullført de nærmeste ukene.

Prosjektet er dermed kommet så langt at vi har vedtatt at funksjonaliteten kan rulles ut og settes i produksjon. Se II for utrullingsløpet.


II. Utrulling av DNSSEC – datoer og innhold

Siste endringer:

  • 2014-11-04: Flere detaljer lagt til, inkludert oppgraderingen 2014-12-02.
  • 2014-10-22: Lagt inn flere detaljer. Noen mindre korreksjoner.

Utrulling av DNSSEC-funksjonaliteten vil foregå utover senhøsten 2014.

Følgende datoer er satt:

  • 14. til 21. oktober: I forkant av fase 1 vil det foregå en omlegging av produksjonssite fra Oslo til Trondheim, hvor produksjonen skal kjøres en ukes tid.

    Norid vil allerede her begynne å introdusere nøkler og DS-poster i egne soner for intern testing. Vi har enda ikke publisert noen DS-poster for no-sonen i rotsonen, og det vil ikke bli med DNSSEC-informasjon ut i våre publiserte soner.

    Deretter utføres omlegging tilbake til Oslo. Dette utføres for å trene på omleggingsrutiner, samt å verifisere at alle nødvendige data er replisert mellom sitene.

  • 21. oktober til 11. november: I denne perioden vil Norid begynne å signere poster i egne soner. Vi har fortsatt ikke publisert noen DS-poster for no-sonen i rotsonen, men det vil etterhvert bli med DNSSEC-informasjon ut i våre publiserte soner. Dette foregår som følger:

    • 30. oktober: Vi starter med å publisere signerte versjoner av no-sonen og alle de 787 undersoner som også er administrert av Norid. DS-poster for undersonene publiseres enda ikke i no-sonen.
    • 4. november: DS-poster for undersonene publiseres i no-sonen.

  • 11. november: DS-poster for no-sonen vil bli sendt IANA for publisering i rotsonen. Det kan så ta noen dager før disse er ferdig publisert av IANA.

  • 18. november: Dette er antatt dato for når IANA bør ha fullført publiseringen av DS-postene for no-sonen. Da er vi i produksjon med fase 1 i prosjektet, og Norids egne soner er komplett signert.

    Vi kjører deretter test av produksjonen i 3 uker for å verifisere at alt spiller som det skal.

    Forutsatt at alt ser greit ut, vil gå videre og åpne for fase 2. Dersom problemer oppdages, vil oppstart av fase 2 skyves over til nyåret 2015.

  • 2. desember: Oppgradering av registreringssystemet for å forberede oppstart av DNSSEC fase 2.

    Vi foretar en oppgradering av systemet for å legge inn ny programvare med DNSSEC-funksjonalitet. DNSSEC-funksjonene har kjørt i testsystemet siden januar 2014, og innføres nå i produksjonssystemet.

    Oppgraderingen gir følgende spesifikke endringer mhp. DNSSEC:

    • EPP-grensesnittet gjøres DNSSEC-kapabel, det vises bla. ved å inkludere DNSSEC-skjemaet ‘secdns-1.1.xsd’ i EPP-greeting-meldingen.

    • EPP-klienten gjøres DNSSEC-kapabel, det vises ved at nye DNSSEC-parametre og -funksjoner blir synlige. Som en tilbakefallsmulighet tilbys det også en rask og enkel ‘go unsecure’ funksjon, hvor man kan bulkslette alle DNSSEC-data for en liste av delegeringer.

    • Registrarweben får en ny ‘DNSSEC enabled‘ parameter i fanen ‘Admin/Registry Access’. Denne parameteren settes av Norid, og styrer om en registrar har lov til å administrere DNSSEC-data for sine delegeringer.

      Parameteren vil stå med verdi ‘No’ som standardverdi, hvilket betyr at forsøk på å legge inn DNSSEC-data vil bli avvist. Registrarer som ønsker å ta i bruk DNSSEC må selv sørge for å få denne parameteren aktivert ved å kontakte Norid på info@norid.no.

  • 9. desember: Oppstart produksjon av fase 2: DNSSEC i full produksjon.

    Registrarer som har meldt inn at de vil ta i bruk DNSSEC vil få dette aktivert på sin konto på registrarweben. De kan da begynne å legge inn DS-poster på delegeringer som de ønsker å sikre.

    DNS-sjekken som utføres i systemet ved oppretting og endring av delegeringer er utvidet med noen ekstra sjekker for å sikre at DS-postene er konsistente mot det som ligger av DNSSEC-informasjon i DNS. Sjekkene utføres når en delegering har minst en DS-post og er beskrevet i dokumentasjonen.


III. Dokumentasjon

Vi har oppdatert en del ekstern dokumentasjon i løpet av prosjektet. Se dokumentasjon, for beskrivelse av endringer og og referanser til dokumentasjon.


IV. DNSSEC i testsystemet

Testsystemet for registrarer har tilbudt DNSSEC-funksjonalitet i EPP-snittet siden 30. januar 2014, og i Whois-snittet siden 15. juli 2014.

Det er ikke planlagt noen endringer i disse grensesnittetene slik at de kan ansees stabile nok til å tas i bruk av registrarer.

Det er dermed ingen grunn til å vente lenger med tilpasninger i eget system. Registrarer som har tenkt å ta i bruk og tilby DNSSEC anmodes om å tilpasse og klargjøre sine systemer, samt teste dem mot testsystemet i god tid før vi lanserer DNSSEC fase 2 i produksjon.

Se III for nødvendig teknisk dokumentasjon.

Sist endret i 2015 eller tidligere