Dnssec verbetert de beveiliging van ssl-certificaten. Dat is één van de argumenten die wordt genoemd in een whitepaper dat Surfnet publiceert over over de uitrol van Dnssec. Het document 'Deploying Dnssec' legt uit hoe dit protocol werkt en welke voordelen de uitrol ervan oplevert.
'Dnssec-validatie wordt nog niet op grote schaal ingezet', vertelt technisch product manger Roland van Rijswijk van Surfnet. 'Dat is jammer, want uit onze eigen ervaringen blijkt dat dnssec vrij probleemloos in te voeren is. Het biedt bovendien toegevoegde waarde op het vlak van veiligheid en vertrouwen. Dat geldt zeker in de toekomst wanneer certificaatinformatie in dns wordt opgenomen.'
Verifiëren ssl-certificaten
Ssl-certificaten worden gebruikt om websites te authenticeren. Dat garandeert websitebezoekers dat ze daadwerkelijk zijn beland bij het internetadres dat ze hebben ingetikt in de adresbalk van hun browser. 'ssl/tls-certificaten moeten worden geverifieerd door je browser, voordat ze worden gebruikt voor het versleutelen van verkeer', legt technisch adviseur Marco Davids van domeinregistreerder SIDN uit.
'Daarbij kan dnssec een belangrijke rol gaan spelen in de toekomst. Nu verloopt de verificatie nog op basis van een lange lijst van root-certificaten aan boord van je computer, maar dat systeem kent gebreken. Met DNSSEC ontstaat er een nieuwe, veel betere mogelijkheid om ssl/tls-certificaten te kunnen verifiëren. De nieuwste development-versie van Google Chrome heeft al werkende code aan boord die werkt volgens dit nieuwe principe.'
Hands-on informatie
Het beter kunnen verifiëren van ssl-certificaten is slechts één van de argumenten die in 'Deploying DNSSEC' wordt genoemd voor de uitrol van deze beter beveiligde versie van dns. Het Surfnet-document legt uit hoe dit protocol werkt en welke voordelen de uitrol ervan oplevert. Daarnaast bevatten de bijlagen concrete hands-on informatie voor het configureren van dns-software.
Het document is primair bedoeld voor ict-managers, vertelt Van Rijswijk. 'Zij moeten beslissen over het al dan niet uitrollen van nieuwe technieken zoals dnssec en systeembeheerders aansturen. Met deze whitepaper willen we de op Surfnet aangesloten instellingen de helpende hand bieden bij de uitrol van dnssec. Daarnaast hopen we ook een breder publiek te interesseren zoals isp's en hosters.'
OpenDNSsec
Van Rijswijk is bij Surfnet onder meer verantwoordelijk voor de domain name server (dns)-infrastructuur.' Dat betekent dat ik me, naast het schrijven van dit soort whitepapers, bijvoorbeeld bezighoud met onderzoek naar hoe dnssec zich in praktijk gedraagt op het internet en hoe we de stabiliteit van dns en dnssec kunnen blijven garanderen.'
Daarnaast draagt Surfnet bij aan OpenDNSsec. Dat is open source software voor beheer van dnssec. 'Ik coördineer de bijdrage van Surfnet en ben lid van het OpenDNSsec Architecture Board', vertelt Van Rijswijk.
DNSsec
Voorstanders van dnssec kregen de wind in de zeilen, nadat beveiligingsonderzoeker Dan Kaminsky in de zomer van 2008 een gevaarlijk lek in het dns-protocol bekendmaakte. Dnssec beschermt tegen dat lek. Het doet echter nog meer dan dat. Volgens Kaminsky 'gaat het mail eindelijk veilig maken'.
Het protocol maakt het mogelijk om domeinnamen te 'ondertekenen' met een cryptografische sleutel, om te bewijzen dat het ip-adres waarvandaan de bijbehorende website wordt gehost, inderdaad is toegewezen aan het internetdomein dat de gebruiker in de taakbalk van zijn browser heeft ingetikt.
Deploying DNSSEC
Het Surfnet-document 'Deploying Dnssec' legt uit hoe Dnssec werkt en welke voordelen de uitrol ervan oplevert. Daarnaast bevatten de bijlagen concrete hands-on informatie voor het configureren van dns-software.
