Een campagne van Stichting Internet Domein Registratie (SIDN) heeft ertoe geleid dat Nederland in enkele weken tijd het aantal DNSsec-ondertekende domeinnamen heeft verhoogd van enkele honderden naar 355.000. Hierdoor streeft Nederland met zijn .nl-domein in één klap de top level domeinen van Tsjechië (.cz) en Brazilië (.br) voorbij. Dit waren tot voor kort de nummers één en twee van de wereld.
'Om DNSsec echt te laten slagen moet de hele keten overstappen, dus van de registry tot de eindgebruiker', zegt Roelof Meijer, algemeen directeur van SIDN. 'Om dit te stimuleren investeren we er flink in, onder meer door registrars die het ondersteunen een korting te geven op ondertekende domeinnamen. Hiermee worden ze voor een groot deel gecompenseerd voor de kosten die zij moeten maken om DNSsec te ondersteunen. Deze strategie slaat aan en inmiddels hebben al zo'n 130 van onze registrars de overstap naar DNSsec gemaakt. Er ontstaat een sneeuwbaleffect, want steeds meer registrars nemen DNSsec nu standaard op als extra 'veiligheidsservice' in hun dienstenpakket'
‘Perfect storm’
'Het is goed dat we een stevige groei in de uitrol van DNSsec zien', zegt Olaf Kolkman van NLnet Labs, het bedrijf dat mede aan de basis stond van DNSsec. 'Met DNSsec beveilig je namelijk niet alleen één van de belangrijkste delen van de infrastructuur, je maakt ook de broodnodige innovatie op het gebied van internetbeveiliging mogelijk. Die innovatie gaat er alleen komen als er een zekere hoeveelheid DNSsec uitgerold is. De financiële stimulans die SIDN biedt en de recente invoering van DNSsec in de software van PowerDNS, een populair product onder de Nederlandse registrars, lijken te zorgen voor een 'perfect storm'.'
Bewegwijzering
Het DNS, de bewegwijzering voor het internet, is al vanaf het ontstaan kwetsbaar voor internetcriminelen. Internetgebruikers kunnen door cache poisoning of aanvallen van een onbekende 'man-in-the-middle' op een malafide website terechtkomen of e-mailverkeer kan worden onderschept, terwijl de gebruikte domeinnaam juist is. Deze kwetsbaarheid is lange tijd onderschat, totdat Dan Kaminsky in 2008 aantoonde dat het DNS eenvoudig te manipuleren is. De wereldwijde uitrol van DNSsec, waar al langere tijd aan gewerkt werd, kwam hierdoor in een stroomversnelling.
DNSsec lost deze problemen op door te controleren of het gegeven antwoord authentiek is en afkomstig is van de juiste bron. Hiermee wordt de betrouwbaarheid van het DNS vergroot. In juli 2010 signeerde Icann de root-zone, waarna SIDN een maand later de .nl-zone signeerde met DNSsec. Vanaf dat moment was het voor early adopters al mogelijk 'trust anchors' in de .nl-zone op te laten opnemen in een Friends & Fans-fase. Op 15 mei 2012 werd het voor .nl-registrars mogelijk geautomatiseerd DNSsec aan te bieden via SIDN's domeinnaamregistratiesysteem.
Het is noemenswaardig te noemen dat we met z’n allen dit zo snel blijken te kunnen realiseren. Wat ik alleen jammer vindt is dat sommige providers toch weer voor hun certificaten naar minder betrouwbare certificaat leveranciers stappen. TransIP bijvoorbeeld (vorige week in redactioneel artikel, https://www.computable.nl/artikel/nieuws/security/4545564/1276896/transip-beveiligt-klantdomeinen-met-dnssec.html) gebruikt certificaten van Comodo. Dit nadat Comodo vorig jaar (acclaimed) gecompromitteerd werdt door de Diginotar Hacker (zie ook http://webwereld.nl/nieuws/106204/gehackte-ssl-boer-comodo–moet-in-de-ban-.html) Het zou SIDN sieren dat ze een beperkt aantal certificaat leveranciers goedkeuren, zodat DNSSec niet ondermijnt wordt door kwalitatief mindere certificaten…