Gebrek aan kennis is belangrijkste belemmering voor implementatie DNSSEC

Veruit de belangrijkste belemmering voor de implementatie van DNSSEC is een gebrek aan kennis bij de registrars. Zo blijkt uit een zojuist afgerond onderzoek(*) van SIDN, de beheerder van het .nl top-level domein. Andere belemmeringen zijn achtereenvolgens een gebrek aan vraag bij eindgebruikers, een goede ondersteuning in de software en de user-interfaces, sleutelbeheer, investerings- en operationele kosten, de verhuisproblematiek en te weinig kennis bij eindgebruikers.

01_SeanSchuurman-Grafieken_extern-BelemmerendeFactoren-cropped-600x278

Registrar-adoptieprogramma

Dit onderzoek onder registrars is een vervolg op de nulmeting die twee jaar geleden werd uitgevoerd voor de lancering van DNSSEC in Nederland. De uitkomsten daarvan waren aanleiding tot het opzetten van een registrar-adoptieprogramma. Daarvoor werden onder andere een financiële stimuleringsregeling, een kennis-portal, een online cursus, een webinar en technische ondersteuning georganiseerd.

Die maatregelen hebben ook duidelijk hun vruchten afgeworpen. In minder dan een jaar tijd is Nederland uitgegroeid tot wereldwijde koploper wat betreft de ondertekening van .nl-domeinen.

Hoewel het kennisniveau van DNSSEC bij de technische teams van de registrars nog steeds laag is, ligt dat nu toch gemiddeld 0,7 punten hoger dan twee jaar geleden. Sommige respondenten in de nieuwe meting noemen ook expliciet de cursus en de ondersteuning vanuit SIDN. Desondanks blijft met een 5,5 het verschil groot ten opzichte van de 8,0 die registrars zichzelf geven voor hun DNS-kennis.

02SeanSchuurman-Grafieken_extern-PersoonlijkeKennis-cropped-corrected-600x279

03SeanSchuurman-Grafieken_extern-KennisTechnischTeam-cropped-corrected-600x311

Control panels

Daarnaast is een duidelijke invloed van de user-interfaces zichtbaar op de implementatie van DNSSEC. Veelgebruikte control panels als PleskDirectAdmin en cPanel bieden vaak nog geen ondersteuning voor DNSSEC. Dat maakt de integratie in de bestaande processen lastig. Daar komt nog eens bij dat registrars hun klanten niet met de DNSSEC-instellingen willen confronteren. Vandaar dat zij DNSSEC vaak buiten het control panel om hebben geïmplementeerd. Kleinere registrars die erg afhankelijk zijn van een standaard control panel kunnen dit echter niet. Wat dat betreft lijkt deze problematiek op die van IPv6.

De beperkte mogelijkheden van die registrars zien we ook terug in het kennisniveau: degenen met een zelf ontwikkelde gebruikersinterface scoren gemiddeld een punt hoger dan degenen die een control panel van een derde partij gebruiken.

Registrars kijken dan ook naar SIDN om de adoptie van DNSSEC in de control panels van de software-leveranciers te stimuleren. Andere zaken waar de registry een rol zou moeten spelen zijn achtereenvolgens het verbeteren van het kennisniveau bij de registrars, de verhuizing van ondertekende domeinen, sleutelbeheer, overdracht van domeinen, de ondersteuning in software, de vraag bij eindgebruikers, en kennis van DNSSEC bij leveranciers en gebruikers.

04_SeanSchuurman-Grafieken_extern-IssuesAdoptie-cropped-600x286

Meer ondersteuning

Hoewel een kwart van de respondenten aangeeft DNSSEC nu al te ondersteunen en nog eens een achtste zegt dit binnen een jaar te willen doen, heeft de helft de implementatie op de lange baan geschoven. De rest geeft aan helemaal geen plannen te hebben om DNSSEC te implementeren. Daarnaast zegt tweederde van de respondenten dat de implementatie geen prioriteit heeft. De benodigde tijd en kosten, en een gebrek aan vraag worden als belangrijkste redenen gegeven.

05SeanSchuurman-Grafieken_extern-DNSSECaanbieden-cropped-600x270

Registrars blijken over het algemeen tevreden over het DNSSEC-beleid van SIDN; gemiddeld geven ze een ruime zeven. De behoefte aan meer ondersteuning bij registrars die afhankelijk zijn van een extern control panel is wel duidelijk zichtbaar. Hun waardering wat betreft ondersteuning en technisch beleid ligt gemiddeld een volle punt lager. Zij verwachten echt een actievere rol van SIDN.


Sean Schuurman van Rouwendal is data-analist bij SIDN.

Dit artikel verscheen op 7 juli 2013 op dnssec.nl en is met toestemming op ISP Today overgenomen.

* Voor dit onderzoek zijn 800 willekeurig gekozen registrars gevraagd een online vragenlijst in te vullen. Uiteindelijk hebben 130 van hen daadwerkelijk deelgenomen aan het onderzoek. Daarmee is het aantal respondenten vergelijkbaar met dat van het eerste onderzoek.