Gedenkwaardig jaar voor DNSSEC in .nl!

Zoals de voorvechters van IPv6 wel weten, is het introduceren van nieuwe technologieën in de ‘core’ van het internet een lastige zaak. Er is sprake van soms ingrijpende wijzigingen, een onduidelijke business case en soms een ‘kip/ei’ probleem. Voor de beveiliging van het ‘Domain Name System’ was dat al niet anders. Zelfs nadat Dan Kaminsky in 2008 feilloos aantoonde dat het ‘telefoonboek van internet’ kwetsbaar is voor ‘cache pollution’ aanvallen, liepen banken en andere organisaties nog niet echt warm voor deze beveiligingsuitbreiding, waaraan al sinds de jaren ’90 werd gewerkt.

Het bleek lastig om houders van domeinnamen te overtuigen van het nut van DNSSEC. Niet zo heel vreemd, want DNSSEC is nieuw, maakt het DNS complexer en het signeren van domeinnamen voegt weinig toe, als er aan de resolver-kant niet op DNSSEC wordt gecontroleerd (de zogenaamde validatie).

Daarom zijn we er bij SIDN heel trots op dat we in 2012 deze impasse hebben kunnen doorbreken en de inspanningen van de afgelopen jaren beloond zien met een geweldig resultaat.

Samenwerken
Gelukkig beschikken we binnen Nederland over een schat aan DNS-expertise. Partijen als NLnetLabs, PowerDNS, maar ook SURFnet zijn wereldwijd toonaangevend op dit gebied. Op initiatief van SIDN waren deze partijen al samengebracht in het DNSSEC-platform waaraan, naast de genoemde partijen, ook de overheid deelnam.

Nadat de root-zone in 2010 werd voorzien van DNSSEC beveiliging, volgde zodoende de .nl-zone een maand later. Maar van een grootschalige uitrol was toen nog geen sprake. In 2011 richtten we ons nog voornamelijk op voorlichting en bewustwording en op ‘high end users’, zoals banken. Overigens zonder al te veel succes. In een poging het kip/ei probleem te doorbreken, hebben we in 2012 DNSSEC met succes als standaard aangemeld voor de ‘pas-toe-of-leg-uit’-lijst van de overheid. En in nauwe samenwerking met onze registrars en de deelnemers aan het DNSSEC-platform is het gelukt om DNSSEC in datzelfde jaar tot een groot succes te maken:

dnssec-counter-2012

Binnen korte tijd zijn steeds meer .nl-domeinnamen beveiligd, waaronder ook de nodige overheidsdomeinnamen en ‘paypal.nl’. De inspanningen van PowerDNS, het ‘Forum standaardisatie’, SURFnet,  NLnetLabs,  maar ook die van onze registrars die hun (soms eigen, ‘proprietary’) DNS-omgevingen binnen korte tijd wisten om te bouwen naar DNSSEC, mogen daarbij niet onvermeld blijven.

DKIM, DANE en ‘veilig verhuizen’
Andere interessante mijlpalen in 2012 waren die van ING, dat zijn domeinnaam beveiligde met DKIM en de formalisering van DANE, beide IETF-standaarden die sterk leunen op DNSSEC. Het zijn dit soort nieuwe toepassingen die straks gaan vereisen dat DNSSEC-beveiligde domeinnamen kunnen worden verhuisd naar een andere DNS-operator, zonder dat ze ‘insecure’ worden. Een probleem waar momenteel stevig over wordt nagedacht.

Goede uitgangspositie voor 2013
Op de bijgevoegde grafiek (bron: PowerDNS) is goed te zien hoe het .nl-domein (en dat zijn wij allemaal natuurlijk) van een aanvankelijke achterstand in 2012 is ingelopen naar de positie van  absolute koploper. Er zijn meer domeinnamen in .nl voorzien van DNSSEC dan in alle andere TLD’s samen. Voorwaar een hele indrukwekkende prestatie!

Toch is er nog genoeg te doen in 2013. Aan de validerende kant (resolvers, bij ISP’s) is nog een achterstand weg te werken. Want zonder validatie heeft het signeren van domeinnamen weinig zin.  En ook op het gebied van ‘secure verhuizen’ zullen we de ingeslagen weg verder gaan vervolgen.

Kortom; de ‘core’ van het internet veranderen en als land qua internetinnovaties voorop lopen... Het is niet altijd even gemakkelijk, maar het kan wel! Als iedereen meedoet. Of, zoals Jon Postel het al lang geleden zei:

“The Internet works because a lot of people cooperate to do things together.”

Namens iedereen bij SIDN wens ik alle lezers van ISP Today een heel mooi en succesvol 2013 toe.


Marco Davids is Technisch Adviseur bij SIDN, de 'registry' van het Nederlandse 'country code top level domain' (TLD) en dus het bedrijf achter alle .nl domeinnamen.

Referenties:

http://www.nlnetlabs.nl/projects/dnssec/history.html

http://www.dnsseccursus.nl/

http://www.forumstandaardisatie.nl/actueel/item/titel/dnssec-dkim-sikb-en-visi-op-pas-toe-of-leg-uit-lijst/

https://www.sidn.nl/nieuws/nieuwsbericht/article/-b9c2468c77/

http://xs.powerdns.com/dnssec-nl-graph/

http://www.ing.nl/nieuws/nieuws_en_persberichten/2012/09/xs4all_en_ing_samen_valse_emails_te_lijf.aspx

http://www.phishingscorecard.com/nl/banken.php

http://datatracker.ietf.org/wg/dane/

http://dnssectest.sidn.nl/

https://www.dnssec.nl/

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.