Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

DNSSEC op proef voor .de-domein

  • Door
  • Veenman
  • geplaatst op
  • 11 januari 2010 08:05 uur

DENIC heeft de volgende stap gezet naar implementatie van DNSSEC voor het .de-domein. Een met DNSSEC gesigneerde kopie van de volledige .de-zone draait op twee nameserver clusters. Iedereen die met DNSSEC op het .de-domein wil testen, kan deze nameservers voor .de-domeinen in zijn DNS-resolver instellen. De test nameservers worden wel maar één keer per dag bijgewerkt.

De twee nameserver clusters draaien in Frankfurt (81.91.161.228) en in Amsterdam (87.233.175.25) beantwoorden DNS queries met DNSSEC data as authoritative en niet-recursive nameservers. DENIC heeft op haar website een pagina ingericht waar kant en klare configuratie voorbeelden staan om DNS-resolvers die DNSSEC ondersteunen (ISC BIND, NLnet Labs Unbound en Nominum Vantio) gebruik te laten maken van de test nameservers.

Op 2 maart dit jaar gaat DENIC de volgende stap zetten in het testen met DNSSEC. Dan wordt het mogelijk om DNSKEY’s van individuele .de-domeinen in het domeinregistratiesysteem van DENIC vast te leggen. Daardoor ontstaat er een DNSSEC-keten, waardoor elk onderliggende subdomein ook kan worden gesigneerd.

Japje, 11 januari 2010 8:17 am

Meer nameservers met DNSSEC betekend meer nameservers om een ddos mee te doen.. ik sta er nog steeds verbaasd van dat niet meer mensen het weten.

DNSSEC is een heel erg slecht geschreven laag voor DNS.

Lees voor de grap deze slides eens. Kun je zien hoe makkelijk je een DDOS kunt doen door DNSSEC servers te misbruiken:
http://cr.yp.to/talks/2009.10.30/slides.pdf

Als hoster moet je weten wat je draait en wat voor impact het heeft. Ben erg benieuwd of we ooit nog van DNSSEC afkomen.. of dat het gewoon door onze strot straks wordt geduwd.

Sebastiaan Stok, 12 januari 2010 11:01 am

Interessante slides :)
Maar wat moeten we dan doen? SSL over UDP is volgens mij ook niet helemaal stabiel. en TCP voor DNS? Ik heb gehoord dat dat ook te zwaar is.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.