SIDN heeft DNSSEC voor .nl-zone succesvol ingevoerd
23/08/2010 09:11
Stichting Internet Domeinregistratie Nederland
Op drie na grootste landendomein ter wereld verder beveiligd
Arnhem, 23 augustus 2010 - SIDN, verantwoordelijk voor de. nl-zone en ENUM NL, heeft vannacht succesvol de .nl-zone met DNSSEC ondertekend. SIDN heeft hiermee de eerste stap gezet naar een grootschalige uitrol van DNSSEC (DNS Security Extensions) binnen .nl. DNSSEC is een uitbreiding op het huidige DNS (Domain Name System) en maakt het mogelijk dat providers controleren of DNS-gegevens echt te vertrouwen zijn. Het .nl-domein, nu al één van de veiligste en het op de drie na grootste landendomein ter wereld, wordt hiermee voor gebruikers nog veiliger.
DNSSEC
Het huidige DNS-protocol bevat een aantal kwetsbaarheden en is hierdoor niet voldoende beschermd tegen bijvoorbeeld cache poisening en aanvallen van een onbekende 'man-in-the-middle'. Via DNSSEC vragen internetgebruikers aan DNS-servers om verwijsgegevens te voorzien van een digitale handtekening. Dat garandeert dat een internetgebruiker wiens ISP een DNSSEC-resolver heeft, onvervalste DNS-gegevens ontvangt. Wanneer een internetgebruiker namelijk de verkeerde DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres. DNSSEC lost deze problemen op en vergroot daarmee de betrouwbaarheid van het DNS. Maar het is niet de ultieme veiligheidsoplossing. Zo biedt het bijvoorbeeld geen oplossing voor typosquatting en phishing en moet de internetgebruiker alert blijven op misleiding.
Ondertekenen
Zone-ondertekening is het proces van ondertekening van de DNS-records binnen een zonebestand, in dit geval de .nl-zone. Dit proces voegt nieuwe records toe aan de zone (zoals handtekeningen en een publieke sleutel), waarmee de controle van de authenticiteit en de integriteit van de gegevens door resolvers mogelijk wordt gemaakt. Over enkele weken wordt de publieke sleutel van de .nl-zone in de root gepubliceerd en vanaf dat moment is validatie door resolvers die DNSSEC aan hebben staan mogelijk. Internetgebruikers die dan verbinding maken met het Internet via een resolver die valideert, weten zeker dat de antwoorden voor .nl betrouwbaar zijn. Het grootste deel van het DNS-verkeer gaat via de resolvers bij ISPs, maar bijna geen enkele ISP heeft op dit moment DNSSEC-validatie al aanstaan. SIDN werkt in het dnssec.nl platform met hen samen om dit te realiseren.
Begin oktober biedt SIDN domeinnaamhouders die al ervaring hebben met DNSSEC de mogelijkheid voor een beperkt aantal domeinnamen hun 'publieke sleutel' aan te leveren. Deze worden dan door SIDN opgenomen in de .nl-zone. Dit Friends & Fans-programma loopt totdat het voor alle .nl-domeinnamen mogelijk is ze te beveiligen met DNSSEC. SIDN zal de verdere invoer van DNSSEC op een stapsgewijze manier doen om de beschikbaarheid van de .nl-zone te garanderen en verwacht hiermee in 2011 klaar te zijn.
Strategie
Roelof Meijer, Algemeen Directeur SIDN: "In december 2009 hebben we aangekondigd om de .nl-zone in augustus 2010 te ondertekenen, een maand nadat de rootservers van het internet met DNSSEC zouden zijn ondertekend. De .nl-zone is een erg grote zone met meer dan 4 miljoen .nl-domeinnamen, voor zo'n zone DNSSEC invoeren is geen sinecure. Die ondertekening van de root is op 15 juli jongstleden door ICANN gedaan en daarmee hebben we onze planning gehaald. Na .org is .nl nu de grootste zone die DNSSEC succesvol heeft ingevoerd. Doordat wij gewacht hebben met de invoering totdat de root was ondertekend, hebben we geen gebruik hoeven te maken van interim-oplossingen en kon de hele keten in een keer ondertekend worden. Ons inziens was dit de beste en veiligste manier om DNSSEC voor de .nl-zone in te voeren. DNSSEC past bij onze strategie om .nl tot het veiligste internetdomein te maken en voorop te lopen bij verdere ontwikkelingen van het DNS."
http://www.sidn.nl