Internet moet zomer 2010 over zijn op DNSsec

De ICANN en Verisign streven ernaar om de root van de DNS voor 1 juli 2010 met DNSsec beveiligd te hebben. Dat maakten Joe Abley van ICANN en Matt Larson van VeriSign dinsdagmiddag bekend op een bijeenkomst van het Réseaux IP Européens - meestal afgekort tot RIPE. Dat is een platform ter bevordering van ontwikkelingen van internet. De rootzone is het hoogste niveau binnen de hiërarchische Domain Name System-structuur.

DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres.

Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert. Olaf Kolkman, directeur van NLnet Labs, zei eerder aan Computable hierover: ‘De ondertekening van de rootzone is een heel grote stap vooruit. Voor Nederlandse domeinnamen betekent de ondertekening van de rootzone concreet nog niets, omdat de .nl-zone nog niet ondertekend is. Maar met een getekende root wordt het aan de kant van de gebruikers nu ineens heel veel makkelijker om DNSsec te configureren. Doordat je gebruik maakt van de hiërarchische eigenschappen van de DNS-boom en begint bij de wortels, wordt providers veel werk bespaard. Het wachten is nu op .nl-beheerder om voor Nederlandse domeinen de keten compleet te maken.'

DNSsec

DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), .gov, org, Puerto Rico (.pr), Tsjechië (.cz), Thailand (.th) en Zweden (.se). De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.

.nl, het Top-Level Domain van ons land, ondersteunt DNSsec op dit moment nog niet.

nixy, 06-10-2009 20:20

Het is de vraag of we iets gaan opschieten hiermee. DNSSEC introduceert ontzettend veel nieuwe manieren waarop DNS stuk kan gaan. Ik kan me haast niet anders voorstellen dan dat de resolvers (clients) er aan zullen gaan wennen om een fallback te doen naar "plain" DNS als weer eens iemand vergeten is zijn keys op tijd te vernieuwen of als een misconfiguratie ervoor zorgt dat je bepaalde namen niet meer "secure" kunt resolven. Immens: "geen DNS" is "geen Internet" en dat is een hoge prijs. En wat is dan nog het nut van DNSSEC? Als we niet oppassen wordt dit weer eens een monumentale verspilling van geld en moeite om een technich vreselijk complex systeem neer te zetten, dat uiteindelijk geen enkel wezenlijk doel dient. Maar de tijd zal het leren.

Erwin, 07-10-2009 12:59

Nixy, wiki eerst even DNSSec. DNSSec is geen ' security' aan de kant vand e reolver, maar aan de kant van de Server. DNSSec voegt enkel authenticatie-informatie toe aan een DNS Reponse, aldus kan een resolver valideren dat een record ook echt van een authoritive server af komt (of authorised cache). Het nut us duidelijk: jouw browser weet dat www.mijnbank.nl wordt geresolved door ns1.mijnbank.nl en niet door ns1.ikhackjou.nl

nixy, 07-10-2009 16:19

Erwin: precies. valideren. En ik voorzie dus dat als dat valideren niet lukt, we gewoon ongevalideerde antwoorden gaan gebruiken, want anders werkt het Internet niet meer. Klinkt stom, en dat is het ook, maar toch gaat het gebeuren.
Dan zul je zeggen dat je moet afdwingen dat er alleen gevalideerde data wordt vertrouwd, maar dan zullen domeinnaamhouders heel rap zijn met uitzetten van DNSSEC omdat ze merken dat de effectieve beschikbaarheid van hun domein dan direct verbonden is met alles wat mis kan gaan met DNSSEC. En trouwens, mijn browser weet al of ik met mijn bank praat, want daar hadden we SSL voor.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Internet moet zomer 2010 over zijn op DNSsec

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

17-06-10 ICANN begint beveiliging root met DNSsec

09-04-10 NGN ziet noodzaak tot DNSSEC-training

16-11-09 Gebruik DNSsec is verdriedubbeld

30-10-09 Microsoft publiceert gids over uitrol DNSsec

12-10-09 SIDN stelt invoering DNSsec uit

04-06-09 Internet krijgt beveiligd DNS-protocol

25-02-09 .com-domein krijgt beveiligd DNS-protocol

Best Practices om laptop-data te beschermen