Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

SURFnet: Uitrol DNSSEC noodzakelijk

  • Door
  • Veenman
  • geplaatst op
  • 16 februari 2009 08:02 uur

SurfnetHet DNS-protocol is zo lek als een mandje, doordat bij het ontwerpen van het protocol beveiliging geen enkele rol speelde. Om de beveiliging van het DNS-protocol te verbeteren is de DNSSEC extensie ontwikkeld, echter wordt dit nog nauwelijks gebruikt. Om aandacht voor de nut en noodzaak van DNSSEC te vragen heeft SURFnet er een white paper over geschreven.

De white paper genaamd ‘Hardening the Internet’, is onder meer geschreven naar aanleiding van het zogenaamde Kaminsky-lek die het mogelijk maakt om internetters met behulp van `DNS cache poisoning` eenvoudig naar malafide websites om te leiden. Ondanks het feit dat het Kaminsky-lek door de meeste ISP’s gedicht is, blijft het DNS-protocol kwetsbaar door de werking van de DNS. Een structurele oplossing om de DNS te beveiligen is daarom noodzakelijk. DNSSEC is de enige mogelijkheid om dat te doen, concludeert SURFnet.

Het grootste obstakel voor implementatie van DNSSEC zit hem er in dat het beheer sterk afwijkt van DNS-beheer. DNSSEC werkt op basis van cryptografische sleutels, waardoor er procedures moeten worden opgetuigd voor het beheer en vervanging van de sleutels (key management en roll-over). Het publiceren van met DNSSEC gesigneerde DNS-records is op dit moment ook nog lastig, omdat er nog weinig tools beschikbaar zijn om dit te doen. Kleine partijen adviseert SURFnet om het signeren van hun domeinen te outsourcen of hiervoor een appliance in te zetten die het signeren van de DNS-records voor zijn rekening neemt.

SURFnet verwacht dat DNSSEC pas in 2010 gemeengoed wordt. Het zal volgens SURFnet waarschijnlijk ook tot dan duren voor dat de DNS rootzone gesigneerd wordt. Tot dat het geval is moet elke DNS-server die DNSSEC ondersteunt van elke individuele TLD de sleutel bijhouden. Veel registraties wachten met de uitrol van DNSSEC tot de rootzone gesigneerd is, omdat ze dan niet langer zelf hun cryptografische sleutel hoeven te verspreiden. Het feit dat de rootzone nog niet gesigneerd is vertraagt de uitrol van DNSSEC daarom significant.

DNSSEC timeline

Lennie, 17 februari 2009 1:55 pm

"DNSSEC is de enige mogelijkheid om dat te doen, concludeert SURFnet." Ik heb toch ook al een meerdere andere alternatieven gezien en DNSSEC is de meest gecompliceerde en moeilijk te implementeren variant. Mogelijk dat dat de belangrijkste reden is voor de vertraging en niet het signeren van de root. Iets wat je nu zelf kunt doen, willen providers ook niet outsourcen lijkt mij.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.