SIDN belt achter DNSSEC-fouten aan
Gepubliceerd op 30-07-2013
SIDN deed al eerder een oproep aan registrars om hun DNSSEC -registraties en -configuratie in orde te maken. Validatiefouten leveren immers een acuut probleem op voor een webbrowser of een mail gateway, en dus voor de eindgebruiker. Extra wrang daarbij is dat met name klanten getroffen worden van goedwillende internet access providers die validatie op hun caching DNS -servers aan hebben gezet. Ondanks dat Nederland op dit moment wereldwijd absolute koploper is wat betreft de invoering van DNSSEC, lopen we het risico dat validatie moeilijk op gang komt als het aantal fouten te groot wordt. Vandaar dat SIDN inmiddels registrars nabelt als daar configuratiefouten worden gedetecteerd.
Voornaamste struikelblok bij validatie zijn de fouten in ondertekende domeinnamen,
aldus Michiel Henneke, marketingmanager bij SIDN, in een interview met ISP Today Daardoor kunnen klanten van ISP's onnodig worden gehinderd in hun internetgebruik. We werken er hard aan om deze fouten terug te dringen, om te voorkomen dat het aanzetten van validatie bij ISP's tot problemen leidt.
Configuratie
Registrars kunnen sinds vorig jaar een vinkje in hun DRS-interface uitzetten, waarmee eventueel aanwezig DNSSEC-sleutelmateriaal bij verhuizing van een Domeinnaam automatisch wordt opgeschoond. Registrars die geen DNSSEC ondersteunen maar deze optie ten onrechte aan hebben staan, veroorzaken validatiefouten voor de domeinnamen van hun klanten. Nu komen ze daar tot op zekere hoogte nog mee weg. Eindgebruikers zullen immers in eerste instantie hun eigen ISP vragen waarom bepaalde domeinnamen niet meer werken. Maar naarmate meer DNS-operators valideren — en Google Public DNS doet dat inmiddels ook — zullen hun eigen domeinnaamhouders vaker de dupe zijn.
Het nabellen van de registrars die verantwoordelijk zijn voor de meeste validatiefouten in het .nl-domein werp zijn vruchten af. Volgens Henneke loopt het aantal fouten inmiddels terug.
