Centrale verwijsindex van internet wordt beveiligd

De noodzaak van betere beveiliging van het Domain Name System is al enige tijd pijnlijk duidelijk. Het DNS-protocol is al jaren niet gewijzigd. Niet alleen is het daardoor steeds slechter opgewassen tegen de stijgende werkdruk, het wordt ook steeds kwetsbaarder voor kwaadaardige opzetjes van hackers.

Het manipuleren van de cache van DNS-servers is de ideale methode om internetters ongemerkt naar een andere site te loodsen dan ze van plan waren. Zij kunnen zo bijvoorbeeld worden verleid in te loggen op een nepsite die precies lijkt op hun banksite. Vorig jaar nog werd door onderzoeker Dan Kaminsky gewaarschuwd voor een ernstig lek in DNS dat eenvoudig te misbruiken was om DNS-servers met foutieve verwijzingen te voeden.

DNSsec maakt dat type misbruik stukken lastiger door toevoeging van een cryptografisch zegel in de communicatie tussen DNS-servers. Implementatie daarvan verloopt echter langzaam, deels vanwege de complexiteit, maar ook door discussies over de gevoelige kwestie, wie het beheer moet gaan voeren over de sleutels die bij de cryptografische zegels horen.

Om die reden bleek het tot nog toe ook ondoenlijk om DNSsec op het allerhoogste niveau geïmplementeerd te krijgen. ICANN en Verisign konden het niet eens worden over de vraag, wie de sleutels moest gaan beheren voor de verwijsindex die schakelt tussen de verschillende top-leveldomeinen als .com en .gov. ICANN voert het beheer over internet, maar heeft Verisign de opdracht gegund om adressen in het .com en .net-domein te registreren.

De National Telecommunications and Information Administration, een onderdeel van het Amerikaanse ministerie van handel, heeft nu een doorbraak geforceerd. Vanwege de gevoeligheiden wil het agentschap zelf nog niet veel details vrijgeven. Maar uit een persbericht van ICANN over deze kwestie valt af te leiden dat er sprake zal zijn van gedeelde verantwoordelijkheid.

VeriSign krijgt de verantwoordelijkheid en het operationeel beheer over een zogeheten Zone Signing Key, terwijl ICANN het Key Signing Key-proces beheert. Daarbij werken de betrokken organisaties nauw samen om de operationele en cryptografische uitdagingen op te lossen, heet het. Veel duidelijkheid over de technische werking en verdeling in bevoegdheden geeft dit nog niet. Maar het belangrijkste element in de annoncering is natuurlijk, dat de oplossing nog dit jaar wordt geïmplementeerd.