Elke 3 maanden vindt er een speciale ceremonie plaats waarin de nieuwe cryptografische “Zone Signing Keys” worden ondertekend. Deze sleutels worden dan het volgende kwartaal gebruikt om de root DNS-zone te beveiligen. Deze DNSSEC sleutels vormen de basis voor elke domeinnaam die beveiligd is met DNSSEC. Een kopie van de “Key Signing Key” die hiervoor nodig is, wordt bewaard op 2 beveiligde locaties in de VS. Om deze “Key Signing Key” te kunnen gebruiken, moeten er tijdens een lange ceremonie meerdere stappen gevolgd worden, waaronder het openen van 2 kluizen door IANA/ICANN medewerkers.
Op 12 februari stond er een zo’n ceremonie op het programma. Aangezien de verwachte levensduur van de 2 kluizen was bereikt, zouden deze ook vervangen worden. Voor één van beide kluizen bleek de verwachte levensduur alvast uiterst nauwkeurig: toen ze de kluis probeerden te openen, weigerde het vergrendelingsmechanisme mee te werken.


In allerijl werd er een slotenmaker gesommeerd. Maar aangezien de inhoud van de kluis niet beschadigd mocht worden, kon hij de grove middelen niet bovenhalen om de kluis te openen. En hoewel het slot van de kluis het liet afweten, bleek er helemaal niet mis met de bouwkwaliteit. De slotenmaker had uiteindelijk maar liefst 28 uur nodig om de kluis open te krijgen.

Twee dagen later dan gepland, kon de ceremonie om de nieuwe DNSSEC keys te ondertekenen dan alsnog doorgaan. Gelukkig worden er bij elke ceremonie iets meer sleutels ondertekend dan deze die nodig zijn voor de komende drie maanden. De rootzone is dus steeds beveiligd geweest en er was nooit het gevaar dat ze zonder DNSSEC sleutels zou vallen.

Net als alle andere ceremonies de afgelopen 10 jaar werd ook deze ceremonie live gestreamd. Je kan de volledige video, inclusief 2 gloednieuwe kluizen, bekijken op de IANA-website: https://www.iana.org/dnssec/ceremonies/40
Let op: de hele ceremonie duurt ongeveer 2,5 uur en vaak is het net zo spannend als verf zien drogen.

Auteur

Comments zijn gesloten