DNSSEC-beveiliging voor .nl-domeinnamen volledig operationeel
Gepubliceerd op 15-05-2012
Sinds 15 mei jongstleden zijn alle benodigdheden voor de invoering van DNSSEC voor alle registrars beschikbaar. Daarmee biedt SIDN, de beheerder van het .nl top-level domein, alle houders van een .nl- Domeinnaam de mogelijkheid hun DNS -informatie cryptografisch te beveiligen. Zo wordt een extra beveiligingslaag aan het bestaande protocol toegevoegd. Houders kunnen direct bij de negen launching partners van SIDN terecht. Maar de mogelijkheid om DNSSEC geautomatiseerd aan hun klanten aan te bieden, staat open voor alle registrars en internet service providers.
Beveiliging .nl-domeinnamen met DNSSEC mogelijk
Uitrol DNSSEC maakt het .nl-domein nog veiliger
SIDN, het bedrijf achter .nl, heeft vandaag DNSSEC geïmplementeerd in haar domeinnaamregistratiesysteem (DRS). DNSSEC, wat staat voor 'Domain Name System Security Extensions', voegt een extra beveiligingsniveau toe aan het huidige DNS, dat kwetsbaar is voor internetcriminaliteit. Voor domeinnaamhouders is het door deze implementatie vanaf nu mogelijk om hun .nl-domeinnaam te laten beveiligen met DNSSEC.
DNSSEC moet groeien
De wereldwijde uitrol van DNSSEC is een omvangrijke operatie en functioneert alleen optimaal wanneer de hele keten, van domeinnaamhouder tot registrars en internet service providers (ISP's), meewerkt. Registrars vervullen in deze keten een cruciale rol. Door de implementatie van DNSSEC in DRS is het namelijk voor registrars mogelijk om DNSSEC geautomatiseerd aan te bieden aan hun klanten waardoor de acceptatie van DNSSEC snel kan groeien. SIDN streeft naar een veiliger internet en gelooft in DNSSEC als een belangrijk middel om DNS veilig te maken,
aldus Roelof Meijer, algemeen directeur van SIDN. Wij vormen een onmisbare schakel in de DNS-hiërarchie om DNSSEC beschikbaar te maken, evenals de registrars, DNS operators en resolvende partijen zoals ISP's. En zij zijn nu aan zet. Een negental registrars zal vanaf vandaag direct DNSSEC aanbieden aan eindgebruikers. SIDN is blij met hun betrokkenheid bij de introductie van DNSSEC en hun bereidheid om te investeren in de extra veiligheid die het biedt. Het uitrollen van DNSSEC in de infrastructuur van een registrar is geen sinecure. Desondanks verwachten wij dat het aantal aanbieders snel zal groeien, omdat Nederland traditioneel voorop loopt met nieuwe internetontwikkelingen. SIDN zal de vraag naar DNSSEC op verschillende manieren blijven stimuleren.
Registrars
Ewout de Graaf van Mijndomein en tevens voorzitter Commissie Techniek van de VvR: Wij hopen met het aanbieden van DNSSEC aan onze klanten de adoptie van deze standaard in Nederland een impuls te geven. Wanneer meer partijen DNSSEC adopteren, maken wij het internet daarmee echt veiliger. En als er veel met DNSSEC gesigneerde domeinnamen zijn, maakt dat het voor ISP's interessanter om te gaan resolven.
Alex Bik, technisch directeur van zakelijk ISP BIT: Consumenten en bedrijven verwachten dat ze veilig kunnen internetten, zonder zich druk te maken over de beveiliging van hun internetverkeer. De implementatie van DNSSEC door SIDN is een cruciale stap in de beveiliging van het DNS-systeem. DNSSEC is alleen waardevol als het door de hele keten wordt geïmplementeerd. We zijn blij dat BIT als registrar vanaf vandaag in samenwerking met SIDN gesigneerde domeinnamen kan aanbieden aan eindgebruikers, waardoor het DNS-systeem significant beter wordt beveiligd tegen kwaadwillenden.
Authentiek antwoord
Het DNS, de bewegwijzering voor het internet, is al vanaf het ontstaan kwetsbaar voor internetcriminelen. Internetgebruikers kunnen door cache poisening of aanvallen van een onbekende 'man-in-the-middle' op een malafide website terechtkomen of e-mailverkeer kan worden onderschept, terwijl de gebruikte domeinnaam juist is. Deze kwetsbaarheid is lange tijd onderschat, totdat Dan Kaminsky in 2008 aantoonde dat het DNS eenvoudig te manipuleren is. De wereldwijde uitrol van DNSSEC, waar al langere tijd aan gewerkt werd, kwam hierdoor in een stroomversnelling. DNSSEC lost deze problemen op door te controleren of het gegeven antwoord authentiek is en afkomstig is van de juiste bron. Hiermee wordt de betrouwbaarheid van het DNS vergroot. In juli 2010 signeerde ICANN de root zone, waarna SIDN een maand later de .nl-zone signeerde met DNSSEC. Vanaf dat moment was het voor zogenaamde early adopters al mogelijk trust anchors in de .nl-zone op te laten opnemen in een Friends & Fans-fase.
De volgende registrars zijn actief betrokken geweest bij de introductie van DNSSEC en bieden vanaf het eerste moment DNSSEC aan:
- BIT
- HCC
- Mijndomein
- MijnDomeinReseller
- Monshouwer Internet Diensten
- Nederhost
- SinnerG
- SysTech Media
- TransIP
Maar sinds 15 mei 2012 is het voor iedere registrar mogelijk .nl-domeinnamen te beveiligen met DNSSEC. Niet iedere registrar ondersteunt al DNSSEC. Informeert u naar de mogelijkheden bij de registrar van uw keuze.