Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

11 december 2014

Yourhosting ondertekent meer dan 200 duizend domeinen, en meer volgt

Vorige week brak het aantal ondertekende .nl-domeinen door de twee miljoen. Het bereiken van deze nieuwe mijlpaal hebben we onder andere te danken aan Yourhosting. Deze registrar ondertekende afgelopen week meer dan 200 duizend domeinen.

We hebben in totaal 227 duizend .nl-domeinen, vertelt Bart Carlier, general manager bij Yourholding. Voor 214 duizend daarvan zijn wij ook de operator. Die zijn inmiddels allemaal met DNSSEC beveiligd.

Hoewel SIDN's incentive-regeling al langer loopt, was de onlangs aangekondigde verlenging daarvan tot en met 2018 een belangrijke driver. Destijds was nog niet helemaal duidelijk waar het met DNSSEC heen zou gaan. Ondanks het feit dat veiligheid zeer belangrijk is en eigenlijk niet in geld uit te drukken, blijft een implementatie als deze een kosten/baten-afweging. Dat heeft er in eerste instantie toe geleid dat andere projecten voorrang kregen. Nu de incentive-regeling voor langere tijd vastligt, hebben we dit project boven andere kunnen laten prevaleren.

PowerDNS

We gebruiken hier PowerDNS en een eigen beheer-interface, zegt programmeur Jeroen Peters Dus hebben we onze DNSSEC-implementatie volledig zelf gebouwd. Dat heeft drie van onze software-ontwikkelaars zes weken tijd gekost. Problemen zijn we niet echt tegengekomen. We hebben vooraf veel uitgezocht en gedocumenteerd. DNSSEC lijkt in het begin heel lastig, maar uiteindelijk valt dat wel mee. Bovendien neemt PowerDNS je een hoop werk uit handen. We werken hier met PHP en Python. PowerDNS biedt een nieuwe API; daar hebben we tegenaan geprogrammeerd.

We hebben wel contact gehad met SIDN, aldus projectleider Rowan Hendriks, maar toen waren we zelf al een goed eind op weg. En Kees Monshouwer [eigenaar van het gelijknamige Internet-bedrijf] heeft ons geholpen met tips voor de implementatie van DNSSEC in combinatie met PowerDNS.

Nog 60 duizend

Een invoermogelijkheid voor de 13 duizend resterende klanten die hun eigen DNS -servers beheren is er nog niet. Onze prioriteit lag in eerste instantie bij het ondertekenen van de domeinnamen die we zelf in beheer hebben, zegt Hendriks. Het uitdenken van een proces voor klanteigen DNS-servers staat op de agenda maar is complex. Daarbij speelt namelijk dat klanten geen foutieve invoer moeten kunnen geven. En wat te doen voor klanten die overschakelen tussen hun eigen DNS-servers en die van ons. Moeten we het sleutelmateriaal dan laten staan of niet? In deze beginperiode willen we in ieder geval alles in eigen hand houden.

We moeten nu nog de laatste puntjes op de 'i' zetten. Dat is voor het einde van het jaar allemaal afgerond. Daarnaast ligt er nog een portfolio van 60 duizend .nl-domeinen bij ons zusterbedrijf Starthosting. Die willen we ook nog deze maand ondertekenen. Zij maken gebruik van dezelfde productiestraat, dus met wat aanpassingen hier en daar moet dat zeker lukken.

Vanzelfsprekend

Naast de .nl-domeinen biedt Yourhosting zijn klanten nog diverse andere TLD's aan. De markt tendeert naar uniformiteit op dit gebied, dus we willen in de toekomst ook andere TLD's gaan ondertekenen, aldus Carlier, maar daar zijn op dit moment nog geen concrete plannen voor. Laten we eerst ervaring opdoen met onze huidige configuratie. Desondanks verwacht hij dat .eu in 2015 de eerste zal zijn waarvoor DNSSEC ook wordt aangezet.

Of technologieën die voortbouwen op DNSSEC — denk aan DANE en DKIM — als aparte diensten aan de man gebracht kunnen worden is nog onduidelijk. Een SSL-certificaat voor je website wordt straks een vanzelfsprekendheid. Met DNSSEC gaan we dezelfde kant op. Je onderscheidt je als aanbieder van domeinnamen straks niet meer als je deze vorm van veiligheid wel aanbiedt, maar juist als je dat niet doet, en dan in negatieve zin.