SIDN, de organisatie die het technisch beheer verzorgt van de Domain Name System-servers binnen het .nl-domein, schuift de implementatie van DNSsec op de lange baan. Eerst moet een aantal operationele en technische problemen worden opgelost, die nu nog een stabiele implementatie in de weg staat. Daarna wordt het internetprotocol, dat betere beveiliging biedt dan de 26-jaar oude voorloper DNS, gefaseerd ingevoerd. Dat zegt SIDN op vragen van Computable.
Een jaar geleden was SIDN optimistischer. Toen zei technisch adviseur Antoin Verschuren te verwachten dat zijn beheerorganisatie ‘ergens in 2009' zou starten met de beveiliging van de .nl-zone met DNSsec. Die datum hing af van de ervaringen met de implementatie van dit protocol voor één deelzone: de ENUM-zone, die wordt gebruikt om traditionele en internettelefonie met elkaar te verbinden.
Dat die ervaringen niet onverdeeld positief moeten zijn geweest, valt op te maken uit een reactie aan Computable van Markus Travaille, manager ‘new business' bij SIDN: ‘We zijn op dit moment actief met DNSsec bezig en onderzoeken, samen met andere Nederlandse en buitenlandse partners, de operationele en technische problemen die nog opgelost moeten worden voordat DNSsec betrouwbaar en stabiel kan worden ingevoerd. Pas nadat er oplossingen zijn gevonden voor deze operationele en technische issues zal SIDN met een concreet implementatievoorstel komen. Daarbij zal zeker sprake zijn van een gefaseerde introductie van DNSsec omdat de ervaring met ENUM en met andere Top Level Domeinen leert dat dat het beste werkt.'
De implementatie van de ENUM-zone is nog niet afgerond, zo geeft Travaille aan. Vorig jaar verwachtte SIDN dat dat in januari 2009 al het geval zou zijn geweest.
‘Weinig vraag naar DNSsec’
De talmende houding van SIDN wordt nog eens versterkt doordat de organisatie vindt dat ‘DNSsec complex is en er nog weinig vraag naar is. Daarom kiezen we er bewust voor om een actieve bijdrage te leveren aan DNSsec om zo een implementatie makkelijker, goedkoper en minder foutgevoelig te maken.'
SIDN sponsort de ontwikkeling van open source software voor DNSsec (opendnssec.org), participeert in de DNSsec industry coalition, IETF en ICANN-bijeenkomsten en ‘werkt we samen met andere experts aan oplossingen voor de problemen die met de introductie van DNSsec gepaard gaan.'
Vijftien procent registries waagt zich niet aan overstap
Uit recent onderzoek van de Country Code Names Supporting Organisation (ccNSO), dat wereldwijd de beheerorganisaties van landencodes zoals .nl ondersteunt, bleek dat vijftien procent van de Country code Top-Level Domain (ccTLD) registries die deelnamen aan een enquête van de ccNSO, niet van plan is om binnen nu en drie jaar DNSsec te implementeren.
Een deel van hen – de studie vermeldt niet welk aantal – zegt moeite te hebben om voldoende technische expertise en financiële middelen bij elkaar te krijgen voor de overstap. Een ander bezwaar dat registries noemen is dat er op dit moment geen concrete vraag is naar DNSsec onder providers en websitebeheerders. Ook vindt een deel van de respondenten DNSsec te complex.
Travaille: ‘SIDN heeft aan de ccNSO aangegeven dat zij een voorstander is van DNSsec en van plan is over te stappen, maar voor SIDN is het een voorwaarde dat deze overstap goed moet verlopen. De factor tijd is daarbij ondergeschikt aan de factor kwaliteit.'
DNSsec
Via DNSsec vragen internetgebruikers aan DNS-servers om verwijsgegevens te voorzien van een digitale handtekening. Dat verkleint de kans dat een internetgebruiker vervalste DNS-gegevens ontvangt. Wanneer kwaadwillenden DNS-gegevens vervalsen, kunnen ze mailberichten onderscheppen en bezoekers omleiden naar nepsites.
DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), .gov, org, Puerto Rico (.pr), Tsjechië (.cz), Thailand (.th) en Zweden (.se). De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
.nl, het Top-Level Domain van ons land, ondersteunt DNSsec op dit moment nog niet.
Meer weten over DNSsec
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.