“Suurem osa domeene on ostetud mõne suure suure pakkuja käest: Zone, Veebimajutus või Telia. Nende pakutavad nimeserverid on juba korras või ajavad nad peagi asja korda,” ütles Eesti küberintsidente lahendava CERT-EE juht Tõnu Tammer. Väga paljud Eesti domeenid ongi seal registreeritud, kasutavad nende nimeservereid ja on seepärast mureta.

“Probleem on aga suuremate või väiksemate ettevõtetega, kes kasutavad ise oma nimeservereid ja pole peatseks uuenduseks valmis,” ütles Tammer.

Fatal error: Tallink.ee lõpetab toimimise

Artikli kirjutamise ajal näitab esmane kontrollivahend, et pärast 1. veebruari tekib näiteks Tallinki domeeniga kõige tõsisemat tüüpi tõrge: domeen lõpetab töö. See tähendab, et veebibrauseris tallink.ee trükkides ei avane soovitud veebileht mitte kuidagi.

Pärast artikli ilmumist teatas Tallink, et nende domeen on nüüd uuenduseks valmis. “Tallink Grupi IT osakond oli ja on täielikult teadlik eDNS teemast ja sel teemal levivast infost. eDNS ei ole mitte midagi uut ja esimene eDNS extension võeti kasutusel juba 1999. aastal. Võime kinnitada, et 1. veebruaril meie veebilehed seisma ei jää ja töötavad edukalt edasi ka pärast seda kuupäeva,” ütles Tallink Grupi IT juht Tõnu Liik.

Samuti tõsiseid tõrkeid näitab Eesti üks suurimaid uudisteportaale Delfi.ee, mille seadistus on selline, et lehekülje avamine võib olla ootamatult aeglane. Samasuguse riskiga on näiteks Swedbanki domeen.

Näide mitte päris hästi uuendustega kohalduvast domeenist on Eesti kaitseväe lehekülg mil.ee, aga ka SEB panga lehekülg. Need peaks küll avanema kiirelt, kuid ei kasuta ära nimeserverite uuenduse kõiki võimalusi ja on seepärast haavatavad küberrünnakutele.

Kui paljusid see mure puudutab?

Eesti interneti sihtasutuse praeguse hinnangu järgi jäävad 1. veebruarist kättesaamatuks 707 domeeni (loe lähemalt siit).

Tõnu Tammeri sõnul on CERT koos Eesti domeenimajanduse eest vastutava Eesti interneti sihtasutusega (EISA) välja selgitatud, et Eestis on kokku 1300 nimeserverit, mis viitavad mõnele Eesti domeenile. Need on serverid, mille ajakohasuse eest peab muretsema mõni Eesti asutus või ettevõte, kes selle nimeserveri püsti pannud on. On ka võimalik, et Eesti domeen kasutab välismaist nimeserverit – näiteks Google’i või mõne muu teenusepakkuja oma – sellisel juhul peab asjad korda ajama selle välismaise nimeserveri omanik.

Nendest 1300-st Eesti nimeserverist ei läbinud esialgset testi 173, neid nimeservereid kasutavadki 707 domeeni.

Mida tegema peaks?

Tavakasutaja ei saa muudatuse vastu kuidagi valmistuda. Domeeni omanik saab ise kontrollida, kas tema domeen 1. veebruaril enam töötab, avaliku tööriista abil siit (ei pruugi ülekoormuse tõttu kohati toimida).

Kui keegi avastab, et tema omandis olev domeen tõrgub, peaks ta pöörduma oma IT-juhi või teenusepakkuja juurde.

Tõnu Tammeri sõnul peaks nimeserveri omanik tegema põhimõtteliselt kahte asja. “Esiteks tuleks DNS serverit uuendada, et see uute reeglitega kohanduks. Teiseks tuleks üle vaadata võrguseadistus, et see EDNS protokolli ei filtreeriks või muud moodi ei segaks,” rääkis Tammer. “Tegelikult on ka kolmas võimalus: vahetada oma nimeserver välja mõne teenusepakkuja vastu.”

Mis selle asja sisu üldse on? Mis 1. veebruar muutub?

Praegune interneti nimeserverite ehk DNS süsteem pärineb 80ndatest ja on ajale jalgu jäänud, sest on aeglane ning sisaldab võimalusi küberrünnakuteks. Selle parandamiseks mõeldi juba hulk aastaid tagasi välja uus uus ja parem laiendus EDNS (Extension mechanisms for DNS).

Mõnda aega on püütud uut ja vana süsteemi kohakuti kasutada, kuid selle keerukus on üle pea kasvamas. Seepärast otsustasid nimeserverite tarkvara tootjad mullu, et 1. veebruaril 2019 lõpetatakse vana DNSi toetamine ja minnakse edasi ainult uue ja läikiva EDNSiga. Ettepanekut toetavad internetimaailma suured ja vägevad nagu Google, Facebook, Cisco, Cloudflare, Quad9 jne.

Täiendatud 15.01 16:30: lisatud viide värskele numbrile, mitut domeeni muudatus Eestis otseselt puudutab.

Täiendatud 16.01: lisatud Tallinki kommentaar.