Nu planeras det för att för första gången byta ut kärnan i domännamnssystemet för internet. Den rotnyckel som används för att skapa de andra nycklar som används för att signera rotzonen, det översta lagret i internets domännamnssystem ska bytas. Nycklar som i sin tur verifierar att de meddelande du får verkligen kommer från den namnserver som uppges och att innehållet inte har förändrats på vägen.
– Det är en stor händelse för internet, säger Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen i Sverige.
Men det innebär samtidigt att det kan bli problem att nå vissa internetservrar för de så kallade resolvrar – som används för uppslagning i domännamnssystemet dns – som inte har den nya nyckeln installerad. Då kan de nämligen inte kontrollera att svaren från de internetsajter som är signerade med dnssec, ett tillägg till dns för att öka säkerheten, är riktiga.
– Det är ett så kallat tillitsankare – nyckeln är publicerad så att det ska gå att hämta den och lägga in den i sina resolvrar för att därmed kunna verifiera signaturerna i dnssec.
Från början var planen att den här publika kryptonyckeln skulle bytas vart femte år men så blev det inte.
– Det var helt enkelt så att leverantören till kryptohårdvaran för att generera nycklar lovade en batteritid på fem år så då tänkte man att då byter man batteri och nyckel på en gång så allt blir nytt och fräscht igen.
Läs också: Icann i fortsatt GDPR-strid om Whois-tjänsten
Nu har det hunnit gå åtta år och batterierna har bytts men inte nyckeln. Men snart kan det vara dags. Planen är att bytet ska ske den 11 oktober men det slutliga beslutet tas förmodligen i nästa vecka av Icann, den organisation som ansvarar för internets adressystem.
Varför byter man då?
Jo, man vill veta hur man gör eftersom det aldrig gjorts förklarar Anne-Marie Eklund-Löwinder.
– Kryptonycklar har inget bästföre-datum – de slutar inte helt plötsligt att fungera. Utan det handlar om att man vill veta hur en nyckelrullning går till, säger hon.
I grunden är det en slags generalrepetition inför ett skarpt läge, en krisövning.
– Skulle man behöva göra bytet akut för att nycklarna röjts eller för att någon har kommit på någon okänd knäckmetod för just den här typen av algoritm eller något sådant så vill man kunna göra det väldigt snabbt. Har man då aldrig gjort det förut så kan väldigt mycket gå fel.
Och faktum är att man egentligen planerat nyckelbytet förra året men sköt upp det.
– Man fick kalla fötter helt enkelt när man insåg att det är så otroligt många inblandade parter. Så många som påverkas.
Läs också: Snart börjar Stockholm använda sin egen toppdomän – så ser planen ut
För den publika nyckeln finns i alla de resolvrar som gör att vi användare får upp rätt sajt och att våra mejl kommer till rätt mejlservrar. Ofta är det våra internetoperatörer som sköter det men den finns ute hos väldigt många andra också.
– Icann har inte kontakt med alla resolveroperatörer – det finns några väldigt stora och så en extremt lång svans med mindre. Du kan i princip köra en resolver hemma. Och därför fördes en diskussion om det var ansvarsfullt att byta om man riskerar att väldigt många användare kan mötas av en svart skärm, säger Anne–Marie Eklund-Löwinder.
Det finns ett protokoll – RFC 5011 – som innebär att resolvrarna uppdateras automatiskt om rotnyckeln byts ut – men eftersom det aldrig provats är det inte riktigt säkert hur eller om det fungerar.
Fortfarande finns det två falanger där den ena vill gå mer försiktigt fram och den andra vill köra eftersom man anser att det inte går att komma till läget att ingen drabbas och det är bättre att se till att man vet vad man kan göra för att åtgärda problemet.
Men Anne-Marie Eklund-Löwinder är inte särskilt orolig att bytet skulle kunna skapa någon större krasch.
– Om det inte fungerar att få upp sajterna så finns möjligheten att slå av valideringen av dnssec-signaturerna och köra utan en stund så fungerar det som innan vi hade dnssec. Det blir ett fönster av osäkerhet när man går tillbaka till där internet var förut, och man måste förstå att informationen är mer otillförlitlig men det fungerar, säger hon.
