Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

DNSSEC-validatie zal in de toekomst door de web-browser worden uitgevoerd

Gepubliceerd op 09-11-2012

Op dit moment zijn clients voor de validatie van DNSSEC bijna volledig afhankelijk van de caching DNS -servers. De meeste besturingssystemen zijn immers alleen voorzien van een stub resolver, die zelf geen validatie uitvoert. In de toekomst zal die controle veelal in de web-browser plaatsvinden. Bijkomend voordeel is dat de browser dan precies kan aangeven wat er eventueel misgaat.

Op dit moment wordt de validatie van DNSSEC op de clients nog nauwelijks ondersteund. De meeste besturingssystemen zijn voorzien van een stub resolver die volledig afhankelijk is van de caching DNS-servers en dus zelf geen validatie doet.

Wil je nu validatie voor 'domme' resolvers implementeren op een bedrijfsnetwerk, dan is er maar één optie, en dat zijn centraal validerende caching DNS-servers. Dat zegt Miek Gieben, Technisch Adviseur bij SIDN, de beheerder van het .nl top-level domein. Bijkomend voordeel is dat er dus ook één centrale aan/uit-switch is. Dat is handig tijdens het debuggen. Gebruik je bijvoorbeeld Unbound, dan kun je DNSSEC-validatie zelfs per domein uitschakelen.

Cruciale voorwaarde voor deze setup is natuurlijk wel dat het bedrijfsnetwerk relatief veilig is en er geen spoofing op kan plaatsvinden.

Web-browser

Maar belangrijker dan dit probleem van 'the last mile', is dat een client vaak precies wil weten wat er misging als de DNSSEC-validatie niet is gelukt. Helaas is er geen netwerkprotocol beschikbaar om die informatie uit te wisselen tussen validerende resolver en stub resolver. Volgens Gieben had een dergelijk protocol wel ontwikkeld kunnen worden, maar was dat zeker niet triviaal geweest. Bovendien zit je daarmee op zo'n laag niveau in de netwerk-stack dat het waarschijnlijk tientallen jaren zou hebben geduurd voordat iedereen zijn software had bijgewerkt tot een versie die hiermee uit de voeten zou kunnen.

En dus rest er maar één oplossing: zelf op de client valideren. Dit kost weliswaar meer rekenkracht, maar dat is tegenwoordig geen probleem meer. Die validatie zal immers veelal in de web-browser plaatsvinden, en als je hardware snel genoeg is om een browser te kunnen draaien, dan merk je weinig of niets van de DNSSEC-validatie.

Bijkomend voordeel is dat de browser precies kan aangeven wat er eventueel misgaat, en daarover dan goede feedback aan de gebruiker kan geven... die dan prompt op 'Toch Doorgaan' klikt! :-)

Terug naar het nieuwsoverzicht