.nl-domein krijgt in augustus 2010 extra beveiliging
Roelof Meijer, algemeen directeur SIDN, licht toe: "SIDN is voorstander van de invoering van DNSSEC, maar is van mening dat de implementatie niet ten koste mag gaan van de stabiliteit. Zeker voor een grote zone als de .nl-zone met ruim 3,6 miljoen .nl-domeinnamen, is stabiliteit de eerste prioriteit. Om die reden zijn wij de afgelopen jaren terughoudend geweest aangaande een snelle invoering van DNSSEC.
Shutterstock
Shutterstock
Door te wachten tot de root ondertekend wordt met DNSSEC, hoeven we geen gebruik te maken van interim-oplossingen, die de kans op fouten vergroten, en kan de hele keten in een keer ondertekend worden. Ons inziens is dit de beste en veiligste manier om DNSSEC voor de .nl-zone in te voeren."
Het DNS-protocol dat nu nog de basis vormt van het adresboek voor internet bevat een aantal kwetsbaarheden die kwaadwillenden kunnen gebruiken om internetgebruikers naar een nagemaakte website te leiden of e-mail te onderscheppen, ook als die gebruikers het juiste adres hebben ingetoetst. DNS met Security Extensions, kortweg DNSSEC, kan veel van de bestaande problemen ondervangen, met name door het verkeer tussen de verwijzingsservers te versleutelen. Implementatie ervan heeft echter nogal wat voeten in de aarde. Ook de afstemming kost veel tijd. DNSSEC biedt echt pas bescherming als het internetbreed wordt geïmplementeerd.
Aanvankelijk was invoering van DNSSEC voorzien voor eind 2009. Onlangs werd besloten om invoering een half jaar uit te stellen, naar juli 2010. Dat moet meer tijd geven voor testen en oplossen van de laatste problemen.
Dat uitstel heeft SIDN kennelijk genoeg ruimte gegeven om nu de toezegging te doen, dat het DNSSEC in het Nederlandse domein invoert een maand nadat het in de root is doorgevoerd.
In die zeven maanden moet SIDN nog wel wat problemen oplossen waar de beheerders van de rootzone geen last van hebben. Zo moet bijvoorbeeld moet het sleutelmanagement bij registries en houders nog worden ingericht, moet een oplossing gezocht worden voor de vraag hoe om te gaan met sleutels bij verhuizing naar een ander domein, en moet nog bepaald worden hoeveel domeinnamen er maximaal met een sleutel kunnen worden ondertekend. Om deze problemen op te lossen heeft SIDN samen met onder andere NlnetLabs en Surfnet het platform DNSSEC.NL opgericht.
Invoering van DNSSEC is overigens geen eindstation in de beveiliging, stelt SIDN. DNSSEC biedt bijvoorbeeld geen oplossing voor typosquatting en phishing. SIDN participeert daarom onder andere in de DNSSEC Industry Coalition om deze problemen op te lossen. Daarnaast speelt SIDN een actieve rol in openddnssec.org, de organisatie die zich bezighoudt met de ontwikkeling van open source software voor DNSSEC.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee