De helft van de organisaties die op nationaal niveau het technisch beheer voeren over Domain Name System-servers, de ‘telefoongidsen van het internet’ – zegt binnen twee jaar over te stappen op DNSsec, een internetprotocol dat een betere beveiliging biedt dan de 26-jaar oude voorloper DNS. Dat valt af te leiden uit een steekproef door hun overkoepelende organisatie, de Country Code Names Supporting Organisation (ccNSO). Registry-organisaties – ook wel aangeduid met de term Network Information Center (NIC) – creëren de databank-bestanden die domeinnamen vertalen in ip-adressen.
Uit het onderzoek van de ccNSO – dat tussen 24 juni en 7 september van dit jaar plaatsvond – blijkt dat een kwart van de Country code Top-Level Domain (ccTLD) registries die deelnamen aan het onderzoek DNSsec al heeft geïmplementeerd, of aan het implementeren is. Van hen is 67 procent bezig met de implementatie, 7 procent bevindt zich in de testfase en 27 procent heeft het proces afgerond. Van de resterende driekwart – die dus nog niet begonnen is met implementatie – zegt tachtig procent dat wel van plan te zijn in de toekomst.
Zogeheten ccTLD registries zijn belast met het technisch beheer van het DNS voor een bepaald land, zoals bijvoorbeeld .nl, .de, .fr enzovoort. Pas wanneer ccTLD's hun ‘zone' geschikt maken voor het gebruik van DNSsec, kunnen providers en websitebeheerders hun domeinnaam beveiligen via dit protocol. In Nederland is SIDN de beheerder van het .nl-domein.
DNSsec verkleint de kans dat DNS-gegevens vervalst worden. Door implementatie ervan hopen registries te voorkomen dat kwaadwillenden op die manier e-mailberichten onderscheppen of bezoekers omleiden naar nepsites. DNSsec is achterwaarts compatible met internetfundament DNS, maar biedt daarnaast authenticatie en databescherming.
In 2011 is 84 procent overgestapt
Van alle respondenten die binnen nu en vier jaar willen overstappen op DNSsec – dat is in totaal 80 procent – wil 35 procent het proces binnen een jaar afgerond hebben, 49 procent binnen twee jaar, en 16 procent neemt nog tussen de twee á vier jaar de tijd. In 2011 zal dus 84 procent van de respondenten overgestapt zijn op DNSsec, zo rekent ccNSO voor.
Aan het onderzoek namen in totaal 65 registries uit de hele wereld deel. Eénentwintig van hen waren afkomstig uit Europa.
Telefoonboek-beveiliging
De populariteit van DNSsec nam een hoge vlucht nadat beveiligingsonderzoeker Dan Kaminsky in 2008 een fundamenteel probleem in het Domain Name System (DNS) blootlegde.
Het DNS vormt het telefoonboek van het internet. Dat telefoonboek staat verspreid op het internet, in de vorm van DNS-servers. Die verzameling DNS-servers houdt bijvoorbeeld bij welk ip-adres hoort bij een bepaald website- of mailadres. DNSsec zorgt ervoor dat de software die de gegevens verzamelt om aan de gebruiker door te geven (een zogenaamde DNS resolver) zeker weet dat hij de bron van die informatie kan vertrouwen. Wanneer de verwijsinformatie in het ‘internettelefoonboek' immers niet zou kloppen, worden e-mailberichten op de verkeerde computer afgeleverd en webpagina's bij de verkeerde computer opgehaald. DNSsec voorziet dit gegevensverkeer van een digitale handtekening.
DNSsec
Via DNSsec vragen internetgebruikers aan DNS-servers om verwijsgegevens te voorzien van een digitale handtekening. Dat verkleint de kans dat een internetgebruiker vervalste DNS-gegevens ontvangt. Wanneer kwaadwillenden DNS-gegevens vervalsen, kunnen ze e-mailberichten onderscheppen en bezoekers omleiden naar nepsites.
DNSsec wordt onder meer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), .gov, org, Puerto Rico (.pr), Tsjechië (.cz), Thailand (.th) en Zweden (.se). De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.
.nl, het Top-Level Domain van ons land, ondersteunt DNSsec op dit moment nog niet.
MEER WETEN OVER DNSSEC
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.