Van signeren naar valideren
Gepubliceerd op 17-10-2012
De uitrol van DNSSEC aan de zijde van de registrars overtreft alle verwachtingen. Slechts een paar maanden na de introductie is inmiddels meer dan twintig procent van alle .nl-domeinnamen ondertekend. De validering moet echter nog uit de startblokken komen. Een enkele uitzondering daargelaten, wordt DNSSEC in Nederland nog door geen enkele algemene internet provider gecontroleerd.
„Tot voor kort viel er ook niets te valideren,” zegt Bert Hubert, de lead developer van PowerDNS, „dus had het geen zin om dat aan te zetten. Maar binnenkort is een derde van alle domeinen ondertekend. Dan krijg je het niet meer aan je klanten uitgelegd als je niet valideert.”
Geen gedoe
"De introductie van DNSSEC is altijd een kip-ei-probleem geweest," vervolgt Hubert. "Bovendien lost DNSSEC geen acuut veiligheidsprobleem op. Beheerders willen hier dus niet te veel werk in hoeven steken. Voor de registrars heeft SIDN, net als Zweden en Tsjechië, een kortingsregeling in het leven geroepen. Zo konden zij DNSSEC budgetneutraal implementeren. Dat heeft de ondertekening een enorme boost gegeven."
Voor de internet service providers zou je eigenlijk iets vergelijkbaars willen doen, om te zorgen dat zij DNSSEC-validatie aanzetten op hun caching DNS -servers. "Bij SURFnet en T-Mobile zit nu constant iemand het validatie-proces in de gaten te houden. Dat moet je veel makkelijker maken. De software moet zo inzichtelijk worden dat je gelijk kunt zien wat en hoeveel er niet goed gaat. We werken nu aan een mooie console die dat soort informatie niet alleen voor DNSSEC maar voor DNS breed aanbiedt. Op die manier willen we mensen verleiden DNSSEC volledig te implementeren." Eind van dit jaar moet de nieuwe console als bèta-versie beschikbaar zijn.
Niet te streng
Volgens Hubert levert die console ook geld op, zij het indirect. "Het is bekend dat het afhandelen van een telefoontje tientallen euro's per keer kost. Als je die klachten en problemen weet te voorkomen, kun je veel geld uitsparen. Daarom moet onze software zo veel mogelijk zelfsturend zijn en zo min mogelijk aandacht vragen."
Dat betekent ook dat je niet te streng moet willen zijn. "De implementatie van DNSSEC in Bind en Unbound is wat dat betreft haast academisch. Doel van onze software is om aanvallen tegen te houden en configuratiefouten te detecteren. Dan is het geen ramp om een digitale handtekening die verlopen is nog een maandje langer te accepteren."
Nog veel te winnen
Ondanks de razendsnelle groei van het aantal ondertekende domeinen is ook aan registrar-zijde nog veel te winnen. "De grote jongens hebben nog lang niet al hun domeinen beveiligd," aldus Hubert. "Ik schat dat de top dertig van registrars meer dan negentig procent van de domeinen beheert. Een percentage van vijftig procent ondertekende domeinen moet makkelijk te halen zijn. Straks hoor je er niet meer bij als je DNSSEC niet aanbiedt."
Daarnaast laten aansprekende en veiligheidsgevoelige bedrijven als de banken het afweten. "Daar doet nog niemand aan DNSSEC. Hun mensen hebben er geen ervaring mee. Bovendien is een software update daar een maanden durend proces. Zijn de banken eenmaal om, dan kun je een bedrijf als KPN aanspreken op de validatie."
