De ICANN en Verisign streven ernaar om de root van de DNS voor 1 juli 2010 met DNSsec beveiligd te hebben. Dat maakten Joe Abley van ICANN en Matt Larson van VeriSign dinsdagmiddag bekend op een bijeenkomst van het Réseaux IP Européens – meestal afgekort tot RIPE. Dat is een platform ter bevordering van ontwikkelingen van internet. De rootzone is het hoogste niveau binnen de hiërarchische Domain Name System-structuur.
DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres.
Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert. Olaf Kolkman, directeur van NLnet Labs, zei eerder aan Computable hierover: ‘De ondertekening van de rootzone is een heel grote stap vooruit. Voor Nederlandse domeinnamen betekent de ondertekening van de rootzone concreet nog niets, omdat de .nl-zone nog niet ondertekend is. Maar met een getekende root wordt het aan de kant van de gebruikers nu ineens heel veel makkelijker om DNSsec te configureren. Doordat je gebruik maakt van de hiërarchische eigenschappen van de DNS-boom en begint bij de wortels, wordt providers veel werk bespaard. Het wachten is nu op .nl-beheerder om voor Nederlandse domeinen de keten compleet te maken.'
DNSsec
DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), .gov, org, Puerto Rico (.pr), Tsjechië (.cz), Thailand (.th) en Zweden (.se). De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
.nl, het Top-Level Domain van ons land, ondersteunt DNSsec op dit moment nog niet.
Het is de vraag of we iets gaan opschieten hiermee. DNSSEC introduceert ontzettend veel nieuwe manieren waarop DNS stuk kan gaan. Ik kan me haast niet anders voorstellen dan dat de resolvers (clients) er aan zullen gaan wennen om een fallback te doen naar “plain” DNS als weer eens iemand vergeten is zijn keys op tijd te vernieuwen of als een misconfiguratie ervoor zorgt dat je bepaalde namen niet meer “secure” kunt resolven. Immens: “geen DNS” is “geen Internet” en dat is een hoge prijs. En wat is dan nog het nut van DNSSEC? Als we niet oppassen wordt dit weer eens een monumentale verspilling van geld en moeite om een technich vreselijk complex systeem neer te zetten, dat uiteindelijk geen enkel wezenlijk doel dient. Maar de tijd zal het leren.
Nixy, wiki eerst even DNSSec. DNSSec is geen ‘ security’ aan de kant vand e reolver, maar aan de kant van de Server. DNSSec voegt enkel authenticatie-informatie toe aan een DNS Reponse, aldus kan een resolver valideren dat een record ook echt van een authoritive server af komt (of authorised cache). Het nut us duidelijk: jouw browser weet dat http://www.mijnbank.nl wordt geresolved door ns1.mijnbank.nl en niet door ns1.ikhackjou.nl
Erwin: precies. valideren. En ik voorzie dus dat als dat valideren niet lukt, we gewoon ongevalideerde antwoorden gaan gebruiken, want anders werkt het Internet niet meer. Klinkt stom, en dat is het ook, maar toch gaat het gebeuren.
Dan zul je zeggen dat je moet afdwingen dat er alleen gevalideerde data wordt vertrouwd, maar dan zullen domeinnaamhouders heel rap zijn met uitzetten van DNSSEC omdat ze merken dat de effectieve beschikbaarheid van hun domein dan direct verbonden is met alles wat mis kan gaan met DNSSEC. En trouwens, mijn browser weet al of ik met mijn bank praat, want daar hadden we SSL voor.