Icann, de organisatie die onder meer is belast met de toewijzing van nieuwe top-level domeinnamen, is begonnen met het beveiligen van de root van het internet met DNSsec. Dat is een internetprotocol dat authenticatie en databescherming biedt en waarmee een provider kan controleren of gegevens van domeinnaamservers (DNS) te vertrouwen zijn. DNSsec-pleitbezorger van het eerste uur Olaf Kolkman was aanwezig bij de ceremonie in de Verenigde Staten op 16 juni.
Kolkman, directeur van onderzoeksgroep NLnet Labs, is opgetogen: 'Het ondertekenen van de root is niet alleen een belangrijke symbolische stap. DNS is een hiërarchisch gedistribueerd systeem. Providers en bedrijven kunnen door de ondertekening met relatief weinig configuratie DNS-gegevens beveiligen.'
Volgens Kolkman is 'de volgende stap dat voor gebruikers belangrijke domeinen worden ondergetekend. We kunnen daarvoor allemaal onze eigen lijstjes maken, maar ga maar uit van domeinen die worden geassocieerd met iets wat waarde voor de gebruikers heeft. Financiële instituties, overheidsinstellingen, en e-commerce sites.'
NL-domein deze zomer ook beveiligd
De ondertekening van de root van het internet, die ICANN voor 1 juli 2010 hoopt af te ronden, stimuleert veel top-level domeinen ook over te gaan op DNSsec. Stichting Internetdomeinregistratie Nederland (SIDN) voert in augustus 2010 het internetbeveiligingsprotocol DNSsec in voor het .nl-domein.
De NLnet Labs-directeur bestrijdt dat DNSsec een te grote last is voor netwerkbeheerders: 'Als je niet goed nadenkt voordat je DNSsec uitrolt, dan kan het inderdaad arbeidsintensief zijn. Maar voor partijen die de DNS-gegevens aanleveren, zijn steeds meer tools beschikbaar, zowel commercieel als open source.' Een voorbeeld van dat laatste is bijvoorbeeld OpenDNSsec.
DNSsec
De root van het internet is het hoogste niveau binnen de hiërarchische Domain Name System-structuur. DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt.
Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres. Voorstanders van DNSsec kregen de wind in de zeilen, nadat beveiligingsonderzoekers in de zomer van 2008 een gevaarlijk lek in het DNS-protocol bekendmaakten.
Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert.
Olaf, namens de Internet Society gefeliciteerd met dit heuglijke feit. Een belangrijke stap op weg naar een betrouwbaar en stabiel internet!