DNSSEC-implementatie komt op stoom

De DNSSEC-teller op de SIDN-website die laat zien hoeveel .nl-domeinnamen met het protocol gesigneerd zijn, is lekker aan het plussen. De teller stond een aantal weken op 800, maar inmiddels is hij over de 12.000 heen.

Miek Gieben, technisch adviseur bij SIDN, laat aan ons weten dat hij merkt dat veel registrars met de implementatie bezig. “Ze geven ons feedback, ondermeer over de precieze invulling van onze DNSSEC-parameters. Verder merk ik dat vooral PowerDNS(SEC) voor de implementatie wordt ingezet.”

Meerdere registrars maakten deze week bekend dat ze hun .nl-domeinnamen van DNSSEC hebben voorzien. Zoals alle launchregistrars en bijvoorbeeld Intention en Shock Media. Wij spraken met Alain Gotz (Shock Media), Toon Martinali (Intention) en Rick van den Hof (Totaalnet).

Gotz laat ons weten dat zij net als alle andere registrars technisch vooruitstrevend willen zijn. “De invoering van IPv6 hebben we met dezelfde reden opgepakt. Daarnaast is DNSSEC natuurlijk een enorm belangrijke verbetering met betrekking tot de veiligheid en betrouwbaarheid van het internet. Dus dat is nog een extra reden natuurlijk.”

De focus op veiligheid en betrouwbaarheid vindt Gotz belangrijk. “Na een testronde vorige week, hebben we maandag de meeste van ons .nl-domeinnamen van DNSSEC voorzien. Voor bijna alle domeinnamen waar wij de nameservers voor draaien en welke via ons zijn geregistreerd hebben wij deze aanpassing gedaan. Dit zijn er in ieder geval meer dan 5000. Hiervan zijn tussen de 3000 en de 4000 stuks .nl domeinnamen. De volgende stap zijn de domeinnamen van onze klanten die gebruik maken van eigen nameservers, zelf SIDN-registrar zijn of de domeinnamen elders hebben geregistreerd.”

Martinali vertelt dat zijn bedrijf ook al met de implementatie bezig was. “Ook wij hebben eerst even test gedraaid. Nadat bleek dat het prima werkt hebben we maandag en dinsdag de rest van de .nl’domeinen, welke op onze nameservers staan, dus niet van klanten met eigen nameservers, overgezet op DNSSEC. Dit waren er circa 7500. Uiteraard heeft de registrarincentive ook het één en ander bespoedigt.”

“Wij zetten volgende week 72.000 domeinnamen over op DNSSEC,” legt van den Hof uit. “Het huidige DNS-systeem is nog altijd kwetsbaar voor cache poisoning, spoofing en overige aanvallen. DNSSEC lost deze kwetsbaarheden op, onder andere door signature validatie.”

Volgens Gotz maakt DNSSEC één van de belangrijkste protocollen op het internet veiliger. Het advies dat hij daarbij geeft, is dat je als registrar wel moet zorgen dat je het  key-management op orde hebt.

“Het is belangrijk om na de omzetting periodiek te monitoren of alle validaties nog werken,” adviseert van den Hof.

Martinali laat weten dat hiermee cache-poisoning aanvallen tot het verleden kunnen gaan behoren. “Mits natuurlijk iedereen hieraan meewerkt om het te implementeren.”

Verder geeft Gotz aan dat het is nog niet zo lang mogelijk is om DNSSEC bij SIDN te implementeren. “Dus je kunt het niet elke registrar kwalijk nemen dat ze er nog niet mee bezig zijn.  En het is ook niet de vraag of registrars DNSSEC gaan gebruiken, alleen wanneer ze dit gaan doen. Zoals iedereen binnen de sector weet is het in ieder geval absoluut noodzakelijk voor de toekomst.”

Dat iedereen in registrar-land hier voldoende mee bezig is, denkt van den Hof niet. “Meestal horen registrars pas van het bestaan van nieuwe technieken – of kennen zij de juiste prioriteit hieraan toe – als een partij als SIDN hier bijvoorbeeld melding van maakt of aan het gebruik van een bepaalde techniek een beloning gekoppeld is.”

“Bij ons intern heeft de checklist op dnssec.nl flink geholpen,” legt Martinali uit. Volgens hem is iedereen er in de branche voldoende mee bezig. “Vooral gezien SIDN met een registrarincentive gekomen is, lijkt het me logisch dat dit een extra stimulans is om DNSSEC toe te passen.”

Naast DNSSEC vertelt Gotz dat er nog diverse technieken worden ontwikkeld die (protocollen) op internet kunnen verbeteren. “Eén van die technieken is bijvoorbeeld DomainKeys Identified Mail om e-mail veilig en betrouwbaarder te krijgen. Daar zijn wij op dit moment mee bezig.”

Ook Martinali geeft aan met DKIM de volgende stap te willen maken. “Hier is een stuk minder aandacht voor, maar spam en phishing zijn nog altijd een onderdeel van een onveilig internet.”

“DNSSEC laat nog een aantal kwetsbaarheden ongemoeid, sterker nog, er worden enkele nieuwe kwetsbaarheden geïntroduceerd,” weet van den Hof. “DNSCurve gaat hier verder mee.”

Terugkomend op DNSSEC wenst Martinali iedereen succes met het implementeren. En Gotz wil zijn collega’s in de sector meegeven, dat het van belang is dat zoveel mogelijk registrars dit soort verbeteringen doorvoeren. “Veiligheid en betrouwbaarheid van het internet – de basis van de dienstverlening van alle registrars – is ieders belang.”

Tot slot vertelt van den Hof dat hij vindt dat registrars meer moeten meer samenwerken. “Registrars moeten nieuwe technieken eerder omarmen en implementeren.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.