Franse registry geeft DNSSEC impuls
Gepubliceerd op 13-01-2014
In navolging van SIDN heeft ook Afnic, de beheerder van het Franse .fr top-level domein een stimuleringsregeling voor de invoering van DNSSEC in het leven geroepen. Dit als onderdeel van een meerjarig strategisch plan om de Franse internet-infrastructuur veiliger te maken.
Daartoe hebben de Fransen een (Engelstalige) deployment guide voor DNSSEC beschikbaar gemaakt. Daarin valt te lezen wat de kwetsbaarheden zijn van DNS, wat DNSSEC is en hoe je domein te ondertekenen, gevolgd door praktische voorbeelden. Die laatste bevatten niet alleen allerlei handige tips maar ook een heleboel concrete stukjes configuratie die ook voor niet-Franse DNS operators interessant kunnen zijn.
Daarnaast is in samenwerking met netwerk- en security specialist HSC een training opgezet voor Franse DNS operators.
Stimuleringsregeling
De financiële incentive-regeling van de Fransen lijkt op de Nederlandse, in die zin dat er een korting op de registratie van beveiligde domeinen wordt aangeboden. Registrars krijgen een reductie van 10 procent op hun .fr-domeinen. Dat was echter maar van korte duur: eind vorig jaar liep deze regeling alweer af.
Ondanks dat de stimuleringsregeling maar drie maanden liep, is projectleider Benoît Ampeau helemaal niet ontevreden over de resultaten. Sinds we deze actie begonnen zijn, hebben we een toename gezien van 25 procent in het aantal geregistreerde DS records. Daarnaast zijn er sinds 2011 meer dan dertig DNSSEC-trainingen gegeven.
We wilden deze beperkte stimuleringsregeling gebruiken om te zien hoe onze registrars hierop reageren en hun feedback verzamelen. We hebben hen begin vorig jaar ingelicht over deze actie, zodat ze zich konden voorbereiden.
Nieuwe regeling
Inmiddels weten alle registrars wat DNSSEC is,
vervolgt Ampeau De ene helft is klaar om deze dienst aan hun klanten aan te bieden. De andere helft is op dit moment bezig met de implementatie ervan. We helpen hen daarbij op twee verschillende manieren. De eerste is die stimuleringsregeling voor registrars die DNSSEC al hebben geactiveerd. De tweede is informatie en training voor diegenen die nog niet zo ver zijn.
Daarbij tekent hij wel aan dat DNSSEC op dit moment bij de registrars om aandacht en mankracht concurreert met de nieuwe TLD's.
Voor dit jaar staan er nieuwe initiatieven op stapel: presentaties, workshops, case studies, en de ontwikkeling van een open source DNSSEC-plugin voor een veelgebruikt monitoring-pakket.
Ons budget is beperkt, maar we willen tenminste tien procent van alle .fr-domeinen ondertekend hebben. Op basis van de feedback van onze registrars zullen we dit jaar ook een nieuwe stimuleringsregeling opzetten.
Hands-on ondersteuning
De belangrijkste les voor ons was dat de waarde van een incentive-regeling beperkt blijft als de technische implementatie problemen oplevert,
vertelt Michiel Henneke, marketingmanager bij SIDN. Dat betekent dat wij veel tijd en energie hebben gestoken in de begeleiding van registrars die op grote schaal hun domeinen ondertekenen. Dat deden we niet alleen met curussen maar ook met daadwerkelijke hands-on ondersteuning bij de implementatie zelf.
Je bent bovendien nooit klaar. Op dit moment zitten wij op ongeveer 1,7 miljoen ondertekende domeinen; er is dus nog voldoende ruimte voor groei. De grootste uitdaging daarbij is om systeemleveranciers zover te krijgen dat ze DNSSEC gaan ondersteunen en ISP's dat ze gaan ondertekenen.