Voor een website-eignaar heeft het niet zoveel zin zijn domeinnaam te authenticeren via DNSsec, als er geen internetgebruikers zijn die de handtekeningen controleren. Andersom heeft DNSsec-validatie aanzetten aan de client-zijde ook weinig zin als er nauwelijks gesigneerde domeinnamen zijn. Dit kip-ei-probleem hindert vooralsnog breedschalig gebruik van deze extra beveiligde variant van DNS. Dat zegt technisch adviseur Marco Davids van domeinregistreerder SIDN.
Voorstanders van DNSsec kregen de wind in de zeilen, nadat beveiligingsonderzoeker Dan Kaminsky in de zomer van 2008 een gevaarlijk lek in het DNS-protocol bekendmaakte. DNSsec beschermt tegen dat lek. Het doet echter nog meer dan dat. Volgens Kaminsky 'gaat het mail eindelijk veilig maken.'
Het protocol maakt het mogelijk om domeinnamen te 'ondertekenen' met een cryptografische sleutel, om te bewijzen dat het ip-adres waarvandaan de bijbehorende website wordt gehost, inderdaad is toegewezen aan het internetdomein dat de gebruiker in de taakbalk van zijn browser heeft ingetikt.
Banken
Momenteel zijn er volgens Davids 'enkele tientallen' websites in Nederland die DNSsec ondersteunen. 'Tot nu hebben alleen een aantal early adopters een 'trust anchor' in onze zone laten opnemen, via ons ‘Friends & Fans'-programma. We zijn momenteel bezig met het opzetten van een volautomatisch registratiesysteem, dat in de winter van 2011 afgerond moet zijn. Zodra dat systeem er is, wordt het ook voor providers interessant om DNSsec aan hun klanten aan te bieden.'
Maar zelfs dan zal het niet echt storm lopen, voorspelt Davids. Ook banken staan volgens hem nog niet te springen om DNSsec te implementeren, ook al biedt DNSsec hen een waterdicht middel om hun domeinnaam te beveiligen tegen de ‘Kaminsky-aanval'. 'Banken zijn huiverig om veranderingen aan te brengen in hun sytemen. Bovendien worden de meeste online bankinbraken gepleegd via zwakheden die gemakkelijker te misbruiken zijn. Het vervuilen van de cache van een DNS-server is best ingewikkeld. In vergelijking daarmee zijn er veel gemakkelijker methoden, zoals bijvoorbeeld phishing. Alleen al in het .nl-domein ontdekken wij elke maand rond de 350 websites die misbruikt worden voor phishing.'
Kip-ei probleem
Daarnaast is er volgens Davids 'sprake van een kip-ei-probleem': 'Het signeren van je domeinnaam met DNSsec heeft niet zoveel zin als niemand die handtekeningen controleert. Andersom heeft DNSsec-validatie aanzetten aan de client-zijde ook weinig zin als er nauwelijks gesigneerde domeinnamen zijn. Dat laatste is trouwens helemaal niet zo ingewikkeld en er is weinig reden het niet te doen. We hopen dan ook dat een toenemend aantal internet service providers (isp's) het goede voorbeeld van T-Mobile zal volgen.'
Die provider heeft DNSsec 'aangezet' aan de client-zijde, zo ontdekte Davids onlangs toen hij de DNSsec-checker bezocht vanaf zijn smartphone.
Beheertools
Een andere belemmering voor de invoer van DNSsec is dat het protocol netwerkbeheerders meer werk oplevert. 'DNS heeft vrijwel geen onderhoud nodig. Het beheer van DNSsec gesigneerde domeinnamen is in vergelijking daarmee best ingewikkeld. Net als bij IPv6 is er daardoor nog niet echt een business case te maken voor de implementatie van DNSsec. Ook al omdat gebruikers er niet snel naar zullen vragen.'
Wat daar volgens Davids verandering in kan brengen, is één of meer grote incidenten. 'De dikkere cockpitdeur is er ook pas gekomen na de aanslagen van 11 september. Maar beter is natuurlijk wanneer er nuttige, nieuwe toepassingen voor DNSsec worden bedacht. Een goede kanshebber daarbij is het verifiëren van SSL/TLS-certificaten met behulp van DNSsec, in plaats van op basis van een grote lijst root-certificaten in je browser. De eerste schreden op dit vlak zijn reeds gezet en de ontwikkelingen zijn tot dusverre veelbelovend.'
Tools
De tools voor het beheer van DNSsec worden volgens Davids wel steeds beter. 'Zowel BIND als PowerDNS bieden tegenwoordig goede ondersteuning voor DNSsec. Vooral PowerDNS biedt een zeer laagdrempelige oplossing. Bert Hubert, de maker van PowerDNS, was aanvankelijk geen voorstander van DNSsec. Hij heeft er altijd naar gestreefd met zijn tool het leven van netwerkbeheerders te vergemakkelijken, in plaats van te compliceren. Toen de root van het internet echter getekend was, en zijn klanten naar DNSsec begonnen te vragen, heeft hij alsnog besloten in zijn software ondersteuning te bieden voor DNSsec. Maar dan zo, dat het meteen zou werken. Onder het motto: als het dan toch moet, dan maar in één keer goed.'
Mischien komt de driver om op DNSsec over te gaan wel uit een andere hoek. De laatste maanden zijn er diverse hacks geweest bij partijen die SSL certificaten vertrekken, hierdoor is het vertrouwen in certificate authorities gedaald. DNSsec zou CA’s zelfs overbodig kunnen maken, want er is immers al een chain of trust. Kostentechnisch ook erg interessant en het kan daarnaast een enabler zijn voor end-user crypto.
Om de een of andere reden zijn de meeste internetgebruikers nooit echt bereid om geld uit te geven aan security.
Misschien leuk om te weten; cwi.nl, de alleerste .nl-domeinnaam ooit, is sinds vorige week ook DNSSEC-signed.