De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. Dat maken de NTIA (National Telecommunications and Information Administration) en het NIST (National Institute of Standards and Technology) bekend. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. Eerder deze week voerde the Public Internet Registry DNSsec in voor het .org domein terwijl in februari al bekend werd dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres.
Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert. Olaf Kolkman, directeur van Nlnet Labs: ‘De ondertekening van de rootzone is een heel grote stap vooruit. Voor Nederlandse domeinnamen betekent de ondertekening van de rootzone concreet nog niets, omdat de .nl-zone nog niet ondertekend is. Maar met een getekende root wordt het aan de kant van de gebruikers nu ineens heel veel makkelijker om DNSsec te configureren. Doordat je gebruik maakt van de hiërarchische eigenschappen van de DNS-boom en begint bij de wortels, wordt providers veel werk bespaard. Het wachten is nu op .nl-beheerder om voor Nederlandse domeinen de keten compleet te maken.'
DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), -.gov, -org, Puerto Rico (.pr), Tsjechië (.cz), Thailand(.th) en Zweden (.se). Sceptici beweren dat het nooit kan lukken om het hele internet op DNSsec te laten overschakelen. Bert Hubert, de ontwikkelaar van PowerDNS, zei hierover eerder tegen Computable: ‘Je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt.'
Ernstig lek in DNS
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky in juli 2008 wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.
Meer weten over DNSsec
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
Vreemd dat de NTIA en NIST dit bekend maken, terwijl zij hier niet over gaan. Gelukkig heeft ICANN, de organisatie die hier wel over gaat, toegezegd hieraan mee te werken.
ICANN is al een tijd bezig met DNSSEC, maar het lijkt er op dat met deze stap de verantwoordelijkheden (wie is verantwoordelijk voor welke stap in het proces, wie is verantwoordelijk voor de digitale sleutels, etc) voor de nabije toekomst verdeeld zijn.
Het ICANN persbericht staat op http://www.icann.nl/en/announcements/announcement-2-03jun09-en.htm.
Erg praktisch ook dat dit nu pas gebeurd. De rest van de wereld wil eigenlijk al van DNSsec af omdat het verouderd is en mogelijk onveilig vanwege de afhankelijkheid op MD5.