De adoptie van domain name system security extensions (dnssec) in het .nl-domein bevindt zich in een impasse. Hoe kunnen we dit veranderen – en daarmee een veiliger .nl-domein creëren? Is verplichting de enige mogelijkheid, of zijn er andere manieren?
Sinds de officiële introductie van dnssec in 2012 zijn er verschillende initiatieven binnen het .nl-domein geweest om de toepassing van deze cryptografische beveiliging te stimuleren. Dit heeft ertoe geleid dat in absolute aantallen er geen ander topleveldomein is met zoveel gesigneerde domeinnamen als het .nl-domein. Tegelijkertijd vlakt de groei sinds een aantal jaar af; het aandeel met dnssec beveiligde domeinnamen in de .nl-zone ligt op dit moment iets onder de 58 procent, een percentage dat al een aantal jaar stabiel is.
Je zou verwachten dat de eigenaren van websites die het meest interessant zijn voor cybercriminelen, zo min mogelijk risico willen lopen en er alles aan doen om hun website te beschermen en al gebruikmaken van DNSSEC. Maar niets is minder waar, zo blijkt uit de meting ‘De staat van .nl’. Zo maken e-commercewebsites niet bovengemiddeld gebruik van dnssec, terwijl bij een aanval op dit soort websites klantgegevens gevaar lopen. Met een ‘cache poisoning’-aanval kunnen websitebezoekers zonder dat ze het doorhebben doorgestuurd worden naar een nepwebsite. De gevolgen van een dergelijke aanval zijn bij een webshop veel groter dan bij een persoonlijke blogpagina, om maar iets te noemen.
Pas toe of leg uit
Een positieve uitzondering op de regel vormen de overheidswebsites: negentig procent van de websites van de Rijksoverheid maakt gebruik van dnssec, 98 procent van de gemeentewebsites en 92 procent van die van de provincie. De reden hiervoor is dat de overheid het voor dergelijke websites verplicht stelt om dnssec te gebruiken volgens het pas-toe-of-leg-uit-principe.
Voor de bankensector geldt deze verplichting niet – en hier ligt de adoptiegraad met 58 procent dan ook meteen een stuk lager. Terwijl in deze sector ook met vertrouwelijke gegevens wordt gewerkt, data waarvan je niet wil dat ze in verkeerde handen vallen.
Het roept de vraag op of een verplichting de enige manier is om de toepassing van dnssec naar een hoger niveau te krijgen. Vooralsnog is het in elk geval de enige manier die écht effectief is gebleken. Andere initiatieven, zoals het belonen van registrars voor iedere klant die dnssec instelt, leidden niet tot dergelijke hoge percentages zoals bij overheidswebsites het geval is. Blijkbaar voelt een ruime veertig procent van de domeinnaamhouders geen noodzaak om dnssec in te stellen.
Resolvers
Tegelijkertijd speelt er nog een tweede kwestie: dnssec biedt alleen bescherming als de dnssec-handtekening ook wordt gevalideerd door een resolver. Zo’n resolver valideert de cryptografische DNSSEC-handtekening wanneer ze van een autoritatieve server dezelfde handtekening ontvangen (een teken dat het inderdaad de rechtmatige domeinnaam is). Dan pas wordt het ip-adres doorgegeven zodat de bezoeker ervan verzekerd is op de juiste website te belanden.
Als we kijken naar het aantal query’s afkomstig van validerende resolvers, dan zien we over de afgelopen jaren een behoorlijke stijging. In 2019 ging het nog om 44 procent van het totaal aantal query’s, vandaag de dag ligt dit percentage op bijna zestig procent. De reden voor deze groei is terug te voeren op KPN die sinds begin 2020 dnssec valideert voor zijn vaste- en mobiele-internetklanten.
Het laat zien dat de oplossing in handen is van de gehele internetgemeenschap, en niet bij een of enkele partijen ligt. Door op verschillende plekken initiatieven te stimuleren die onze internetinfrastructuur veiliger maken, zorgt de som der delen ervoor dat het internet als geheel veiliger wordt.
(Auteur Marco Davids is research engineer bij SIDN Labs.)
Tegenwoordig lijkt het gevaar voornamelijk te komen van phishing en ransomeware.
Hoeveel hacks zouden er zijn geweest waarbij de dns client om de tuin werd geleid en dat dit was de voorkomen met dnssec ?