Het signen van 400.000 domeinnamen

Wij zijn momenteel bezig met het DNSSEC signen van domeinnamen van onze 90.000 klanten. De teller staat inmiddels ruim boven de 200.000, en dat moeten er volgende week ruim 400.000 zijn. Daarmee neemt het aantal met dit protocol beveiligde domeinen sterk toe. Tot half juli 2012 waren er bijvoorbeeld slechts 10.000 met DNSSEC beveiligde .nl-domeinnamen.

Het bestaande DNS-systeem is al lange tijd kwetsbaar. Met behulp van een zogeheten man-in-the-middle-aanval bestaat de mogelijkheid bezoekers om te leiden naar een frauduleuze website. DNSSEC voorkomt dit door extra validatie toe te voegen. Hoe meer domeinnamen van DNSSEC worden voorzien, hoe veiliger het internet wordt.

Veiligheid moet voor domein- en webhostingproviders een speerpunt zijn. We zagen het dan ook als onze plicht om DNSSEC gratis aan te gaan bieden aan al onze klanten. Daarom zijn we nu als één van de eerste domeinproviders in de Benelux aan de slag gegaan met het beveiligen van onder meer .nl-, .com-, .net-, .be- en .eu-domeinnamen. De afgelopen dagen hebben wij elk uur batches van ongeveer 6000 domeinen gesigned.

Het overzetten van alle klantdomeinen naar DNSSEC had aardig wat voeten in de aarde. Er moest voor het beveiligen van de klantdomeinen met DNSSEC flink geïnvesteerd worden in servercapaciteit in ons eigen datacenter. Gezien DNSSEC meer informatie eist dan reguliere DNS records, neemt de omvang van onze databases significant toe.

Bij de voorbereidingen gooiden enkele bugs in de DNSSEC-software roet in het eten. Het ging daarbij om bugs in softwaretools van derden voor validatie, die niet aansloten op de door ons zelf ontwikkelde DNSSEC-software TransDNS. Zo waren er enkele problemen met veelgebruikte scripts om zone files te ondertekenen. Deze bugs hebben wij echter direct bij de verschillende leveranciers gemeld, waarna die veelal binnen een dag waren opgelost.

Bezoekers van een domein kunnen nu controleren of het domein in kwestie DNSSEC beveiligd is. In de volgende fase van DNSSEC moet volgens ons de zogenaamde ‘DANE’-technologie worden geïmplementeerd: hiermee worden sleutels en certificaten voor beveiligde websites in het DNS-systeem opgenomen.

Het aanbieden van DNSSEC en deze technologie onder de aandacht brengen behoort volgens ons tot het ambacht van de registrar. Hiermee levert de registrargemeenschap een bijdrage aan de veiligheid van het internet in het algemeen.



Ali Niknam
is eigenaar van TransIP. Met meer dan 90.000 klanten en 700.000+ geregistreerde domeinnamen is TransIP de grootste aanbieder van domeinnamen binnen de Benelux. Met inmiddels meer dan 200.000 ondertekende domeinnamen is TransIP in één klap de grootste DNSSEC-provider ter wereld geworden.

Over Ali Niknam

Laatste artikelen