Argeweb ondertekent .nl- en .eu-domeinen
Gepubliceerd op 14-09-2015
Argeweb heeft in totaal 180 duizend domeinen, waarvan 95 procent door de provider wordt beheerd. Daarvan zijn nu respectievelijk 105 en 13 duizend .nl- en .eu-domeinen met DNSSEC beveiligd. Volgens een woordvoerder stond DNSSEC al langer op hun verlanglijstje. Veiligheid was daarbij doorslaggevend. De incentive-regeling is uiteraard een mooi steuntje in de rug.
Bulk
Met de ondertekening van hun domeinen volgt Argeweb in de voetsporen van een hele rits hosting providers die de afgelopen twee jaar de door hun beheerde domeinen in bulk ondertekenden. Dat maakt Nederland tot een van de wereldwijde koplopers wat betreft de implementatie van DNSSEC.
Er zijn nog weinig access providers die actief DNSSEC valideren. Net als bij de uitrol van IPv6 is er sprake van een kip-ei-probleem. Ondanks de beperkte validatie, hebben we er toch voor gekozen om DNSSEC aan onze kant al te implementeren, vanwege de veiligheid en om klaar te zijn voor de toekomst.
PowerDNS
Argeweb maakt al jaren dankbaar gebruik van PowerDNS. We hebben een redundante set-up met drie publieke name-servers. Die voeden we met behulp van database replicatie over SSL.
Voor de implementatie van DNSSEC hebben we de onderliggende hardware voor PowerDNS vervangen door relatief zware standaard systemen. We maken geen gebruik van speciale hardware of presigned zones; de ondertekening wordt verzorgd door PowerDNS. De update geeft ons ook een betere bescherming tegen DDoS-aanvallen.
Implementatie
De technische mensen van Argeweb zijn daadwerkelijk iets meer dan een maand bezig geweest met de implementatie van DNSSEC. De totale doorlooptijd bedroeg ongeveer twee maanden. In die tijd heeft men ook een afspraak gehad met Kees Monshouwer, eigenaar en oprichter van het gelijknamige internet-bedrijf, en met SIDN, voornamelijk om de aandachtspunten die men zelf was tegengekomen te laten bevestigen.
De belangrijkste boodschap naar aanleiding van dit project is "just do it!". Op voorhand lijkt de implementatie van DNSSEC erg complex, maar als je de benodigde stappen binnen het domeinregistratie-proces goed in de gaten houdt, is het prima te overzien. Let wel op de DS records die bij SIDN geregistreerd staan bij het uit quarantaine halen van een domein. Die records blijven behouden bij het terughalen uit quarantine terwijl sleutels en handtekeningen op de name-servers mogelijk al opgeruimd zijn. En zorg dat je alle processen die te maken hebben met DNS en domeinregistratie goed in kaart hebt. Vergeet daarbij vooral de handmatige wijzigingen niet die bij SIDN moeten worden doorgevoerd.
DANE
De implementatie van DNSSEC voor .nl en .eu is inmiddels afgerond. We gaan dit project nu eerst evalueren en dan kijken wat we voor de andere top-level domeinen kunnen doen.
De provider biedt geen ingang voor klanten die zelf hun DNS-servers verzorgen. Onze doelgroep bestaat uit ondernemers die zelf geen technische kennis hebben of zich hier niet mee bezig willen houden. We hebben er daarom voor gekozen het uploaden van eigen sleutelmateriaal niet te implementeren. In bijna alle gevallen beheren wij de DNS-zones voor de klanten.
Wel hebben we plannen om DANE te gaan gebruiken, zij het nog niet concreet.
