Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Aantal ondertekende .nl-domeinen groeit exponentieel

Gepubliceerd op 01-08-2012

Deze week is het aantal met DNSSEC ondertekende .nl-domeinen gegroeid tot meer dan 200.000. Daarmee loopt Nederland wereldwijd voorop in de beveiliging van DNS . Deze explosieve groei is vooral te danken aan DNS-operators die in een keer alle domeinen die ze voor hun klanten beheren van DNSSEC voorzien. De meest recente groeispurt komt voor rekening van hosting provider TransIP, die de afgelopen dagen 110.000 .nl-domeinen ondertekende.

Nog maar twee weken geleden konden we melden dat het aantal beveiligde .nl-domeinen snel richting de honderdduizend ging. En dat terwijl we de week daarvoor nog een blije aankondiging over het doorbreken van de tienduizend de wereld instuurden. Inmiddels staat de teller op 217.000, een aantal dat vanaf de introductie op 15 mei jongstleden in dik twee maanden werd bereikt.

Met deze razendsnelle groei loopt Nederland wereldwijd voorop in de beveiliging van DNS. Zo zijn er op dit moment veel meer .nl-domeinen ondertekend dan in het veel grotere .com top-level domein.

TransIP

De meest recente groeispurt komt voor rekening van hosting provider TransIP, die de afgelopen dagen 110.000 .nl-domeinen beveiligde. Het bedrijf is hard op weg om alle Nederlandse domeinen die het voor zijn klanten beheert van een digitale handtekening te voorzien. In totaal zijn er 430.000 .nl-domeinen via TransIP geregistreerd.

Het bestaande DNS-systeem is eigenlijk al lange tijd zeer kwetsbaar, zegt Ali Niknam, de eigenaar van TransIP. Met behulp van een zogenaamde 'man-in-the-middle' aanval bestaat bijvoorbeeld de mogelijkheid dat bezoekers van een domein zonder dat ze dit merken naar een andere (frauduleuze) website worden geleid. Hoe meer domeinen van DNSSEC worden voorzien, des veiliger het internet in het algemeen wordt.

DANE

Zo worden websites nu vaak beveiligd door middel van een SSL-certificaat, vertelt Niknam, De problemen bij DigiNotar laten zien dat de betrouwbaarheid van de instantie die deze certificaten uitgeeft de achilleshiel is van deze oplossing. Zolang die instanties hun beveiliging niet perfect op orde hebben, kunnen internet-gebruikers niet zeker zijn dat de website die zij denken te bezoeken ook daadwerkelijk die site is.

De DANE-technologie biedt voor DNSSEC-beveiligde domeinen de mogelijkheid om extra informatie mee te sturen over het SSL-certificaat. Wanneer de grote webbrowsers deze veiligheidsmaatregel eenmaal ondersteunen, beginnen wij met de volgende fase van implementatie van DNSSEC. Door een hash code (een digitaal uittreksel) toe te voegen aan de DNS-informatie kan het SSL-certificaat door de client worden gevalideerd. Op die manier wordt voorkomen dat een bezoeker op een frauduleuze website terechtkomt.

Open en veilig

De uitrol van DNSSEC voor zo'n groot aantal domeinnamen bracht een heleboel uitdagingen met zich mee, zegt Niknam. Zo is het haast onmogelijk om een DNSSEC-beveiligd domein geautomatiseerd te verhuizen zonder dat deze tijdelijk 'onveilig' wordt. Ook is er behoorlijk wat server-hardware nodig om deze DNS-informatie op te slaan voor elke Domeinnaam . Als laatste bleek gaandeweg het project dat de DNSSEC-gerelateerde software serieuze bugs bevatte.

Tegelijkertijd benadrukt Niknam dat een snelle implementatie van DNSSEC voor TransIP vanzelfsprekend was. Innovatie, betrouwbaarheid en gebruiksgemak zijn de pijlers onder ons bedrijf. Daarnaast zijn wij ervan overtuigd dat het internet in brede zin zowel open als veilig moet blijven. Vandaar dat wij er per se zo vroeg mogelijk bij wilden zijn.

Klanten van TransIP die zelf hun DNS-beheer doen kunnen via het controlepaneel hun sleutelmateriaal voor DNSSEC uploaden.

DNSSEC

DNSSEC werd 15 mei jongstleden volledig in werking gesteld door SIDN, de beheerder van het .nl top-level domein. Vanaf die datum kunnen in principe alle registrars en internet service providers DNSSEC aanbieden aan de domeinnaamhouders. Met name voor operators die het DNS-beheer voor hun klanten verzorgen, is het relatief makkelijk om die domeinen te beveiligen.

Terug naar het nieuwsoverzicht