BLOGI

DNSSEC 100

16. septembril ületas DNSSECiga kaitstud domeenide arv .ee aadresside hulgas esimese 100 piiri. DNSSEC-i võimaluse lisamisest meie registreerijate jaoks oli selleks hetkeks möödas natuke enam kui 8 kuud ja tundus hea hetk teha kerge pilguheit tagasi.

DNSSECi rakendatust saab vaadelda kahest aspektist - kui palju on neid, kes oma domeene sellega kaitsnud ning kui palju neid, kes oskavad seda kontrollida, sest nagu kõigi digi- ja lihtsalt allkirjadel põhinevate süsteemide puhul on allkirjast kasu ainult siis kui teisel poolel on oskus ja võimekus kontrollida selle õigsust. Tavaliselt keskenduvad registrid aga ainult esimesele - saada võimalikult palju domeeniomanikke DNSSECi varju. EIS püüdis seda viga vältida ja projekti pika, mitme aasta pikkuse ettevalmistamise käigus, pidasime hoolega silmas mõlemat osapoolt. Sealjuures ei võtnud me aga ka eesmärgiks maksimaalselt suurt DNSSECiga kaitstud domeenide arvu, vaiddefineerisime domeeniomanikud, kellele annab DNSSEC lisaväärtust ja keskendusime nendele.

Eesti riik Riigi Infosüsteemi Ametiga (RIA) eesotsas on toetanud meie püüdlusi selles osas sisuliselt algusest peale. Riik oli ka üks neist domeeniomanikest keda nägime DNSSECi kasutajana, sest riigi infokeskkondades hallatakse inimeste tundlikke isikuandmeid. Teiste DNSSECi kasutajatena nägime pankasid, e-kaupmehi ning kindlustusettevõtteid. Pangad on näidanud projekti vastu huvi üles selle algusest peale, kuid kahjuks pole veel reaalselt oma domeenide kaitsmiseni jõudnud. E-kaupmeestega oleme samuti nõu pidanud ja lähiaastatel lisatakse DNSSEC loodetavasti E-kaubanduse Liidu “turvaline ostukoht” märgi nõuetesse. Kindlustusettevõtete hulgas on aga olukord rõõmsam, Salva Kindlustus on siin eeskuju näidanud ja kõik oma domeenid DNSSECiga kaitsnud - kohe näha, et see ettevõte mõtleb oma klientide turvalisusele.

Kui väga edukas koostöö riigiga kõrvale jätta, siis on meie töö teiste nö kriitiliste registreerijatega olnud väheste edusammudega. Peamine põhjus on ilmselt DNSSECi keerukus. Krüptosertifikaatide haldus, mida DNSSEC kasutab andmete kaitseks, nõuab suurt hoolt ja täpsust. Organisatsioonide jaoks, kel pole oma IT-meeskonda ja kes ei administreeri oma IT-taristut ise, on täiendavaks takistuseks ka teenusepakkujate puudus. Juba nimetatud põhjusel ei ole ka meie registripidajad kiirustanud selle teenusega välja tulema. Aasta alguses teatas esimesena teenuse pakkumisest Cemty, kuid õige pea said nad aru, et alahindasid DNSSECi ja sulgesid teenuse. Täna on meil kolm registripidajat kes on teatanud DNSSECi teenuse pakkumisest. Siin on oluline ära märkida, et DNSSECi teenuse all mõtlen nn täisteenust, kus teenusepakkuja tegeleb krüptovõtmete haldusega. Kes tahab seda ise teha, saavad kasutada kõigi meie akrediteeritud registripidajate abi võtmete edastamiseks registrisse. Märtsist pakuvad teenust Infonet ja välismaine 123domains.eu ning septembri alguses lisandus meie suurim registripidaja Zone. Zone tegi veel eriti tänuväärse sammu ja pakub teenust oma registreerijatele tasuta. Kolme nädalaga on DNSSECiga kaitstud domeenide arv kahekordistunud. Zone tulek on loonud ehk ka soodsama pinnase e-kauplustele DNSSECi kasutusele võtuks.

Kui registreerijatega on veel tööd vaja teha, siis DNSSECi kontrollimise võimekuselt oleme me maailmas esirinnas. Nagu DNSSECi kasutuselevõtuks on ka selle kontrollimiseks kaks varianti - kontrollida ise, näiteks paigaldades oma interneti sirvikusse seda võimaldav pistikprogramm või jätta see oma internetiteenuse pakkuja (ISP) hooleks, kes siis enne kasutajale soovitud leheküljele ligipääsu andmist kontrollib DNSSECi abil kas kõik on korras. Et enamik interneti kasutajaid ei ole huvitatud arusaamatute programmide paigaldamisest oma sirvikutesse, siis on pilgud pööratud eelkõige ISPde poole. Ja see ongi meie edu võti. Elion, EMT, Infonet ja STV eesotsas ning Google oma avatud nimeserveritega ongi põhjus, miks Eesti nii eredalt silma paistab. Loodetavasti liitub peatselt ka Starman ja hiljem ehk ka teised mobiilioperaatorid.

Võib öelda, et DNSSECi kontrolli võimekuselt on seis väga hea, oleks nüüd veel vaid rohkem domeeniomanikke, kes eelkõige oma kasutajaid internetiohtude eest kaitsta tahaksid. Töö kriitiliste domeenide omanike DNSSECi kaitse alla kutsumiseks jätkub ja loodetavasti lisandub veel ka registripidajaid, kes oma kasutajaid aidata ja kaitsta soovivad.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019