Twintig procent van de organisaties die op nationaal niveau het technisch beheer voeren over Domain Name System-servers, de ’telefoongidsen van het internet’ — zegt niet van plan zijn over te stappen op DNSsec, een internetprotocol dat betere beveiliging biedt dan de 26-jaar oude voorloper DNS. Dat valt af te leiden uit een steekproef door hun overkoepelende organisatie, de Country Code Names Supporting Organisation (ccNSO). Registry-organisaties — ook wel aangeduid met de term Network Information Center (NIC) — creëren de databank-bestanden die domeinnamen vertalen in ip-adressen.
Uit het onderzoek van de ccNSO – dat tussen 24 juni en 7 september van dit jaar plaatsvond – blijkt dat twintig procent van de Country code Top-Level Domain (ccTLD) registries die deelnamen aan het onderzoek niet van plan is om binnen nu en drie jaar DNSsec te implementeren.
Aan hen vroeg ccNSO wat daarvan de reden is. Een deel van hen – de studie vermeldt niet welk aantal – zegt moeite te hebben om voldoende technische expertise en financiële middelen bij elkaar te krijgen voor de overstap. Een ander bezwaar dat registries noemen is dat er op dit moment geen concrete vraag is naar DNSsec onder providers en websitebeheerders. Ook vindt een deel van de respondenten DNSsec te complex.
Registries voorzien daarnaast samenwerkingsproblemen met domeinnaambeheerders (‘registrars’) en internetproviders. Sommige respondenten gaven bovendien aan bang te zijn dat er binnen de internetgemeenschap te veel vertrouwen wordt gesteld in DNSsec. Blind geloof in DNSsec zou voor nieuwe beveiligingsproblemen kunnen zorgen.
Aan het onderzoek namen in totaal 65 registries uit de hele wereld deel. Eénentwintig van hen waren afkomstig uit Europa.
Telefoonboek-beveiliging
Zogeheten ccTLD registries zijn belast met het technisch beheer van het DNS voor een bepaald land, zoals bijvoorbeeld .nl, .de, .fr enzovoort. Pas wanneer ccTLD’s hun ‘zone’ geschikt maken voor het gebruik van DNSsec, kunnen providers en websitebeheerders hun domeinnaam beveiligen via dit protocol. In Nederland is SIDN de registry van het .nl-domein.
DNSsec verkleint de kans dat DNS-gegevens vervalst worden. Door implementatie ervan hopen registries te voorkomen dat kwaadwillenden op die manier e-mailberichten onderscheppen of bezoekers omleiden naar nepsites. DNSsec is achterwaarts compatible met internetfundament DNS, maar biedt daarnaast authenticatie en databescherming.
De populariteit van DNSsec nam een vlucht nadat beveiligingsonderzoeker Dan Kaminsky in 2008 een fundamenteel probleem in het Domain Name System (DNS) blootlegde.
Het DNS vormt het telefoonboek van het internet. Dat telefoonboek staat verspreid op het internet, in de vorm van DNS-servers. Die verzameling DNS-servers houdt bijvoorbeeld bij welk ip-adres hoort bij een bepaald website- of e-mailadres. DNSsec zorgt ervoor dat de software die de gegevens verzamelt om aan de gebruiker door te geven (een zogenaamde DNS resolver) zeker weet dat hij de bron van die informatie kan vertrouwen. Wanneer de verwijsinformatie in het ‘internettelefoonboek’ immers niet zou kloppen, worden e-mailberichten op de verkeerde computer afgeleverd, en webpagina’s bij de verkeerde computer opgehaald. DNSsec voorziet dit gegevensverkeer van een digitale handtekening.
DNSsec
Via DNSsec vragen internetgebruikers aan DNS-servers om verwijsgegevens te voorzien van een digitale handtekening. Dat verkleint de kans dat een internetgebruiker vervalste DNS-gegevens ontvangt. Wanneer kwaadwillenden DNS-gegevens vervalsen, kunnen ze mailberichten onderscheppen en bezoekers omleiden naar nepsites.
DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), .gov, org, Puerto Rico (.pr), Tsjechië (.cz), Thailand (.th) en Zweden (.se). De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
.nl, het Top-Level Domain van ons land, ondersteunt DNSsec op dit moment nog niet.
MEER WETEN OVER DNSSEC
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.