Helft van alle top-level domeinen nu ondertekend
Gepubliceerd op 27-01-2014
Inmiddels is meer dan de helft van alle top-level domeinen (TLD's) ondertekend, zo meldde ICANN vorige week. Dat betekent dat alle houders van domeinen onder deze TLD's in principe DNSSEC kunnen aanzetten. Eventueel moeten zij daarvoor wel naar een andere (ondersteunende) registrar overstappen.
Naar verwachting zal het aantal DNSSEC -ondersteunende registries de komende tijd nog verder exploderen. Waar de meeste top-level domeinen nu nog land-specifiek zijn (ccTLD's) komen er straks vele honderden nieuwe TLD's bij. Omdat de ondersteuning van DNSSEC vanaf deze maand verplicht is gesteld, zullen deze allemaal ondertekend zijn.
Absolute koploper
Hier in Nederland kunnen domeinen onder het .nl TLD al sinds mei 2012 met DNSSEC worden beveiligd Inmiddels is dat voor 1,7 van de 5,4 miljoen .nl-domeinen ook gedaan. Daarmee is Nederland wereldwijd absolute koploper op gebied van DNSSEC.
Die positie hebben we met name te danken aan de grote registrars die massaal de door hun beheerde domeinen hebben ondertekend. Zij werden daartoe aangemoedigd door een kortingsregeling van SIDN, de beheerder van het .nl top-level domein. Onlangs maakte de Franse registry Afnic bekend een vergelijkbare incentive-regeling te gaan gebruiken om de internet-veiligheid van het .fr-domein te verhogen.
Voortrekkersrol
ICANN noemt DNSSEC de grootste beveiligingsuitbreiding van de internet-infrastructuur van de afgelopen twintig jaar. Nederland en Zweden worden met name genoemd vanwege hun voortrekkersrol op dit gebied. Dan gaat het niet alleen om de uitrol van het protocol maar ook om belangrijke bijdragen op technisch gebied. Zo won SIDN deze maand de Internet Innovatie Award 2014 voor de ontwikkeling van de key relay uitbreiding van het EPP protocol.
Deze standaard-in-wording is een cruciaal onderdeel van het verhuisproces van DNSSEC-beveiligde domeinen. Je wilt immers dat een eenmaal ondertekend domein niet alleen bij de nieuwe registrar maar ook tijdens de hele overdracht beveiligd blijft. Daarvoor is het wel noodzakelijk om sleutelmateriaal tussen verkrijgende en latende DNS -operator uit te wisselen. Een communicatiekanaal tussen registrars bestond tot voor kort echter niet. Met key relay voorziet SIDN als registry nu in een elektronisch doorgeefluik voor sleutelmateriaal. Daarmee kan het IETF-verhuisprotocol — niet toevallig ook bedacht bij SIDN — ook daadwerkelijk geïmplementeerd worden.