Internet krijgt beveiligd DNS-protocol
DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.
De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. Dat maken de NTIA (National Telecommunications and Information Administration) en het NIST (National Institute of Standards and Technology) bekend. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. Eerder deze week voerde the Public Internet Registry DNSsec in voor het .org domein terwijl in februari al bekend werd dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres.
Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert. Olaf Kolkman, directeur van Nlnet Labs: ‘De ondertekening van de rootzone is een heel grote stap vooruit. Voor Nederlandse domeinnamen betekent de ondertekening van de rootzone concreet nog niets, omdat de .nl-zone nog niet ondertekend is. Maar met een getekende root wordt het aan de kant van de gebruikers nu ineens heel veel makkelijker om DNSsec te configureren. Doordat je gebruik maakt van de hiërarchische eigenschappen van de DNS-boom en begint bij de wortels, wordt providers veel werk bespaard. Het wachten is nu op .nl-beheerder om voor Nederlandse domeinen de keten compleet te maken.'
DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), -.gov, -org, Puerto Rico (.pr), Tsjechië (.cz), Thailand(.th) en Zweden (.se). Sceptici beweren dat het nooit kan lukken om het hele internet op DNSsec te laten overschakelen. Bert Hubert, de ontwikkelaar van PowerDNS, zei hierover eerder tegen Computable: ‘Je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt.'
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky in juli 2008 wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
Merlijn Hofstra, 05-06-2009 9:51
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
12-10-09 SIDN stelt invoering DNSsec uit
06-10-09 Internet moet zomer 2010 over zijn op DNSsec
07-09-09 SURFnet ondersteunt veilig internetprotocol
25-08-09 Oud-agent wordt hoogleraar webcriminaliteit
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
04-08-08 Apple-patch voor DNS-lek deugt niet
01-08-08 Geen nieuwe patches ondanks DNS-gevaar
01-08-08 Apple brengt patch uit voor DNS-lek
30-07-08 DNS-servers aangevallen
30-07-08 Niet alle providers gepatcht tegen DNS-lek
30-07-08 Beheerder patcht DNS-lek vaak ongemerkt
28-07-08 Apple heeft nog geen patch voor DNS-lek
25-07-08 Kaminsky geeft meer details over DNS-lek
25-07-08 Veilig internetbankieren ondanks DNS-lek
25-07-08 Cisco: schakel DNS-server uit
24-07-08 Zeker helft DNS-servers nog niet gepatcht
24-07-08 Patchen DNS-lek is niet voldoende
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
ICANN is al een tijd bezig met DNSSEC, maar het lijkt er op dat met deze stap de verantwoordelijkheden (wie is verantwoordelijk voor welke stap in het proces, wie is verantwoordelijk voor de digitale sleutels, etc) voor de nabije toekomst verdeeld zijn.
Het ICANN persbericht staat op http://www.icann.nl/en/announcements/announcement-2-03jun09-en.htm.