Aantal DNSSEC-ondertekende .nl-domeinen breekt door 1,5 miljoen
Gepubliceerd op 21-06-2013
Vorige week is het aantal .nl-domeinen dat met DNSSEC is beveiligd door de 1,5 miljoen gebroken. Daarmee is inmiddels bijna dertig procent van in totaal 5,3 miljoen domeinen ondertekend. Nederland is en blijft wereldwijde koploper op DNSSEC-gebied.
Als beheerder van het .nl-domein is SIDN verantwoordelijk voor de stabiliteit en de verdere ontwikkeling van dit top-level domein. De registry verwerkt dagelijks meer dan een miljard zoekopdrachten voor meer dan vijf miljoen domeinnamen. Deze mijlpaal bevestigt de wereldwijde koppositie op DNSSEC-gebied,
aldus marketing manager Michiel Henneke. Wij hebben veruit het grootste aantal ondertekende domeinen. Bovendien groeien we nog steeds door.
Genoeg te doen
Die toppositie hebben we volgens Henneke vooral te danken aan de registrars die zelf ook DNS -operator zijn en hun systemen in eigen beheer hebben. Registrars waarbij domeinnaamhouders zelf zorg dragen voor hun DNS service, en daarbij meestal afhankelijk zijn van een externe software-leverancier, lopen achter op die eerste groep. Dat is een belangrijk aandachtspunt voor SIDN. Hetzelfde probleem speelt overigens ook bij de adoptie van IPv6.
Hoewel het doorbreken van de anderhalf miljoen ondertekende domeinen een belangrijke mijlpaal is, laat dat tegelijkertijd zien dat er nog veel winst te behalen is. Er zijn immers nog steeds 3,8 miljoen .nl-domeinen niet ondertekend. Bovendien worden in Nederland ook veel andere top-level domeinen gebruikt, en daar wordt DNSSEC nog niet of nauwelijks toegepast. Tenslotte moet de validatie van DNSSEC nog goed op gang komen, want alleen dan is de veiligheid voor domeinnaamhouders en gebruikers daadwerkelijk verbeterd.
Validatie
Voor de korte termijn verwacht Henneke een geleidelijke groei naar de 2 miljoen ondertekende domeinen. Dit zou je de 'late majority' kunnen noemen. Daarnaast zullen we service providers aanmoedigen om DNSSEC te gaan valideren. Nadat Google deze optie aanzette voor zijn Public DNS service steeg de validatie van ondertekende domeinnamen naar tien procent. Dat betekent dat registrars het zich niet langer kunnen veroorloven om slordig om te gaan met de DNSSEC-configuraties van hun domeinnaamhouders.
SIDN blijft de komende tijd dan ook investeren in het vergroten van DNSSEC-kennis bij zijn registrars. Daarnaast zal de validatie bij service providers worden gestimuleerd. Tegelijkertijd zal het aantal validatiefouten verder worden teruggedrongen. Daartoe zal de samenwerking met providers en software-leveranciers worden geïntensiveerd. Zo organiseren we bijvoorbeeld een ISP-evenement. Doel daarvan is om service providers bij elkaar te brengen, en informatie, kennis en ervaringen uit te wisselen — bijvoorbeeld met Comcast, een Amerikaanse provider die voorop loopt in DNSSEC-validatie.
