Managed hosting door True

DNSsec wordt wereldwijd meest gebruikt bij .NL

Dit artikel delen:

Een campagne van Stichting Internet Domein Registratie (SIDN) heeft ertoe geleid dat Nederland in enkele weken tijd het aantal DNSsec-ondertekende domeinnamen heeft verhoogd van enkele honderden naar 355.000. Hierdoor streeft Nederland met zijn .nl-domein in één klap de top level domeinen van Tsjechië (.cz) en Brazilië (.br) voorbij. Dit waren tot voor kort de nummers één en twee van de wereld.

'Om DNSsec echt te laten slagen moet de hele keten overstappen, dus van de registry tot de eindgebruiker', zegt Roelof Meijer, algemeen directeur van SIDN. 'Om dit te stimuleren investeren we er flink in, onder meer door registrars die het ondersteunen een korting te geven op ondertekende domeinnamen. Hiermee worden ze voor een groot deel gecompenseerd voor de kosten die zij moeten maken om DNSsec te ondersteunen. Deze strategie slaat aan en inmiddels hebben al zo'n 130 van onze registrars de overstap naar DNSsec gemaakt. Er ontstaat een sneeuwbaleffect, want steeds meer registrars nemen DNSsec nu standaard op als extra 'veiligheidsservice' in hun dienstenpakket'

'Perfect storm'

'Het is goed dat we een stevige groei in de uitrol van DNSsec zien', zegt Olaf Kolkman van NLnet Labs, het bedrijf dat mede aan de basis stond van DNSsec. 'Met DNSsec beveilig je namelijk niet alleen één van de belangrijkste delen van de infrastructuur, je maakt ook de broodnodige innovatie op het gebied van internetbeveiliging mogelijk. Die innovatie gaat er alleen komen als er een zekere hoeveelheid DNSsec uitgerold is. De financiële stimulans die SIDN biedt en de recente invoering van DNSsec in de software van PowerDNS, een populair product onder de Nederlandse registrars, lijken te zorgen voor een 'perfect storm'.'

Bewegwijzering

Het DNS, de bewegwijzering voor het internet, is al vanaf het ontstaan kwetsbaar voor internetcriminelen. Internetgebruikers kunnen door cache poisoning of aanvallen van een onbekende 'man-in-the-middle' op een malafide website terechtkomen of e-mailverkeer kan worden onderschept, terwijl de gebruikte domeinnaam juist is. Deze kwetsbaarheid is lange tijd onderschat, totdat Dan Kaminsky in 2008 aantoonde dat het DNS eenvoudig te manipuleren is. De wereldwijde uitrol van DNSsec, waar al langere tijd aan gewerkt werd, kwam hierdoor in een stroomversnelling.

DNSsec lost deze problemen op door te controleren of het gegeven antwoord authentiek is en afkomstig is van de juiste bron. Hiermee wordt de betrouwbaarheid van het DNS vergroot. In juli 2010 signeerde Icann de root-zone, waarna SIDN een maand later de .nl-zone signeerde met DNSsec. Vanaf dat moment was het voor early adopters al mogelijk 'trust anchors' in de .nl-zone op te laten opnemen in een Friends & Fans-fase. Op 15 mei 2012 werd het voor .nl-registrars mogelijk geautomatiseerd DNSsec aan te bieden via SIDN's domeinnaamregistratiesysteem.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

'DNSSEC maakt SSL-certificaten veiliger'

'Kip-ei-probleem hindert invoer DNSsec'

SIDN zet DNSsec-checker online

.com-domein biedt bescherming via DNSsec

'DNSsec gaat mail eindelijk veilig maken'

.com-domein gaat maart 2011 over op DNSsec

NLnet start fonds voor DNSsec-ontwikkeling

ICANN begint beveiliging root met DNSsec

.NL-domein krijgt in augustus 2010 DNSSEC

Gebruik DNSsec is verdriedubbeld

Eu-domein test beveiligd internetprotocol

SIDN stelt invoering DNSsec uit

Internet moet zomer 2010 over zijn op DNSsec

‘Beveiligd internetprotocol is te complex’

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

Organisaties verwaarlozen DNS-infrastructuur

Nederland patcht slechter tegen Kaminsky-lek

EU wil richtlijnen voor veiliger internet

Tsjechië stapt over op beveiligd DNS-protocol

SIDN: vanaf 2009 overstap naar DNSsec

VS verplicht DNSSEC voor overheid

Aantal DNS-aanvallen neemt toe

Authoritative nameservers vatbaar voor Kaminsky lek

Mailservers nog kwetsbaar voor DNS-lek

Getest: exploittool voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

Cruciaal beveiligingslek in Domain Name System

DNS infrastructuur vertoont nog steeds cruciale beveiligingsrisico's

Banken slordig met beveiliging domeinnaam

Provider XS4all voert dnssec-protocol in

Het CWI wordt weer .NL-registrar

Bedrijven zeggen massaal .nl-domein op


Reacties

Het is noemenswaardig te noemen dat we met z'n allen dit zo snel blijken te kunnen realiseren. Wat ik alleen jammer vindt is dat sommige providers toch weer voor hun certificaten naar minder betrouwbare certificaat leveranciers stappen. TransIP bijvoorbeeld (vorige week in redactioneel artikel, http://www.computable.nl/artikel/nieuws/security/4545564/1276896/transip-beveiligt-klantdomeinen-met-dnssec.html) gebruikt certificaten van Comodo. Dit nadat Comodo vorig jaar (acclaimed) gecompromitteerd werdt door de Diginotar Hacker (zie ook http://webwereld.nl/nieuws/106204/gehackte-ssl-boer-comodo--moet-in-de-ban-.html) Het zou SIDN sieren dat ze een beperkt aantal certificaat leveranciers goedkeuren, zodat DNSSec niet ondermijnt wordt door kwalitatief mindere certificaten...

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.