DNSSEC nu volledig in productie bij SURFnet
Gepubliceerd op 06-09-2013
Na een pilot van een jaar is DNSSEC sinds vorige maand voor elke gebruiker van SURFdomeinen beschikbaar. Dat betekent dat SURFnet-klanten die gebruik maken van de 'managed DNS '-dienst voor hun domein alleen het DNSSEC -vinkje hoeven te activeren. Klanten die zelf als DNS-operator fungeren voor hun eigen domeinen kunnen hun sleutelmateriaal uploaden via de SURFdomeinen-portal — vergelijkbaar met het dashboard van een internet service provider.
Om het gebruik van DNSSEC te stimuleren biedt SURFnet een aanzienlijke korting op elk domein dat met deze cryptografische beveiliging ondertekend wordt. Daarmee lijkt deze regeling op de succesvolle strategie van SIDN. De beheerder van het .nl top-level domein biedt zijn registrars een korting op ondertekende domeinen. Op die manier kunnen zij een deel van hun investeringen in DNSSEC terugverdienen. Dat was voor grote registrars aanleiding om afgelopen jaar hun domeinen soms met honderdduizenden tegelijk van een digitale handtekening te voorzien.
Goed idee
Van de 3500 .nl-domeinen die SURFnet voor zijn klanten beheert, vallen er ongeveer 1000 onder de 'managed DNS'-dienst. Daarvan is op dit moment zo'n twintig procent ondertekend. Voor de overige 2500 .nl-domeinen is dat aandeel maar vijf à tien procent. Hoewel dat volledig transparant zou zijn voor de gebruikers, heeft SURFnet DNSSEC niet automatisch aangezet voor die domeinen waarvoor het ook als DNS-operator fungeert. Dat in tegenstelling tot de grote registrars. Wij hebben een heel ander soort klanten,
vertelt Roland van Rijswijk, specialist Middleware Services bij SURFnet. We bieden ze voorlichting en een aantrekkelijke korting, maar de beslissing ligt uiteindelijk bij hen. Als wij aangeven dat DNSSEC een goed idee is, dan nemen klanten dat advies ter harte. Hoewel we DNSSEC nog maar net officieel hebben geïntroduceerd, zijn veel van hen hier inmiddels ook mee bezig.
Belangrijkste redenen om DNSSEC (nog) niet aan te zetten zijn gerelateerd aan de verhuisproblematiek. Sommige klanten nemen nu een managed service af,
zegt Van Rijswijk, maar willen straks misschien hun eigen DNS verzorgen. Anderen moeten misschien verhuizen als ze via een aanbesteding bij een andere partij terecht komen. We willen wel op een gegeven moment DNSSEC standaard aanzetten voor nieuwe domeinen.
Voorlopig is DNSSEC alleen beschikbaar voor .nl-domeinen. De registratie van andere top-level domeinen loopt via een externe dienstverlener. Het lijkt er niet op dat onze toeleverancier deze mogelijkheid op korte termijn kan aanbieden,
vertelt Van Rijswijk, Maar overstappen naar een andere leverancier zou betekenen dat we alle domeinen moeten verhuizen. Dat is geen optie. Klanten die toch DNSSEC willen op hun andere domeinen kunnen gewoon bij ons aankloppen. Dan verhuizen we ze op individuele basis.
DANE records
Hoewel SURFnet vijf jaar geleden al met DNSSEC aan de slag is gegaan, heeft men deze dienst toch een jaar lang als pilot gedraaid. Onze DNS-omgeving wordt ontwikkeld door een derde partij,
legt Van Rijswijk uit. Eind 2010 zat DNSSEC er al in, maar de volledige implementatie heeft toch langer geduurd dan we dachten. In de tussentijd hebben we natuurlijk wel onze klanten geholpen, bijvoorbeeld via het Friends & Fans programma.
Op dit moment zijn we bezig met DANE. We hebben nu een bèta lopen waarbij we automatisch DANE records aanmaken voor de certificaten die we voor onze klanten uitgeven. Het afgelopen half jaar hebben we geëxperimenteerd. Tegen het eind van dit jaar willen we een eerste proef met klanten doen.