Verisign, de beheerder van het .com en .net-domein, stapt binnen twee jaar over op DNSsec (domain name system security extensions). Dat protocol is backwards compatible met internetfundament DNS, maar biedt daarnaast authenticatie en databescherming.
Verisign voert binnen twee jaar DNSsec in binnen de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Olaf Kolkman, directeur van NlnetLabs en pleitbezorger van dit protocol: "DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is."
Een ernstig lek in DNS lijkt als gunstig bijeffect te hebben dat een aantal domeinen versneld overstapt op DNSsec. In juli 2008 werd bekend dat .org DNSsec gaat ondersteunen, in augustus volgde .gov en per 1 september ging ook het .cz-domein (Tsjechië) overstag. Wereldwijd ondersteunen zeven domeinen het beveiligde internetprotocol: Brazilië (.br), Bulgarije (.bg), -.gov, -.org, Tsjechië (.cz), Puerto Rico (.pr) en Zweden (.se).
Internetgemeenschap moet overtuigd
Providers, registrars (die domeinnamen registreren) en domeineigenaren kunnen pas van DNSsec gebruik maken als de zone waartoe ze behoren (zoals bijvoorbeeld .nl) is voorbereid op DNSsec.
Sceptici beweren dat het nooit kan lukken om het hele internet op DNSsec te laten overschakelen. Bert Hubert, de ontwikkelaar van PowerDNS, zei hierover eerder tegen Computable: "DNSsec vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."
Ernstig lek in DNS
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky in juli 2008 wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.
MEER WETEN OVER DNSSEC
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
