Vijf nieuwe DNSSEC-implementaties
Gepubliceerd op 01-05-2014
Op weg naar een veiliger internet voor Nederlandse maatschappij en economie
De afgelopen maanden zijn er maar liefst vijf nieuwe DNSSEC -projecten gestart, waarvan vier inmiddels ook succesvol afgerond. Dat is de uitkomst van de Campus Challenge waar SIDN zowel geld als expertise aan bij heeft gedragen. Voorwaarde was dat de deelnemers — alle afkomstig uit de academische en onderzoekswereld — DNSSEC zouden uitrollen, het liefst ook met validatie.
Voor SIDN was het vooral belangrijk dat er meer gevalideerd zou worden. Daarmee wordt de meerwaarde van al die ondertekende domeinnamen in de .nl-zone ook daadwerkelijk benut. Daarnaast was het een goede gelegenheid om de banden van SIDN Labs — ons eigen R&D-team — met universiteiten, onderzoeksinstituten en SURFnet aan te halen.
De validatie van de ondertekende domeinnamen is de stap die nodig is om het DNS daadwerkelijk veiliger te maken. Zo draagt deze technologie bij aan het vergroten van de internetveiligheid en daarmee aan het vergroten van de waarde van het internet voor de Nederlandse maatschappij en economie.
Kip-ei-probleem
Waar we absoluut niets te klagen hebben over het aantal ondertekende .nl-domeinnamen, blijft de validatie van DNSSEC bij service en access providers nog achter. Daar speelt een kip-ei-probleem: Wie nu valideert kan te maken krijgen met fouten veroorzaakt door domeinen waarvan de DNSSEC-keten om wat voor reden dan ook niet in orde is. Wrang is dat de last hiervan terecht komt bij goedwillende, vooruitstrevende ISP's terwijl de oorzaak in het algemeen ligt bij DNS-operators en registrars die hun zaakjes niet goed voor elkaar hebben. De beste manier om deze impasse te doorbreken is te zorgen dat er snel meer partijen gaan valideren. Door tegelijkertijd registrars te helpen hun ondertekende domeinnamen correct te configureren, hebben we het percentage problematische domeinen het afgelopen jaar al weten te halveren.
De validatieproblematiek was voor ons ook de belangrijkste reden om met SURFnet te participeren in de Campus Challenge. Deze competitie was onderdeel van het GigaPort3-innovatieprogramma en bedoeld om onderwijs- en onderzoeksinstellingen te stimuleren om hun IT-infrastructuur te verbeteren en daarmee het wetenschappelijk onderzoek in Nederland te versterken. De Campus Challenge was veel breder dan dat, maar specifiek voor de implementatie van DNSSEC droeg SIDN een ton bij aan het beschikbare prijzengeld. Vier van de vijf winnende projecten zijn inmiddels succesvol afgerond, en bij vier instellingen wordt DNSSEC ook al gevalideerd. De laatste partij zal het DNSSEC-deel in de komende maanden afronden.
Gewoon aanzetten
Wat de Campus Challenge voor ons bijzonder maakte was de mogelijkheid om validatie te stimuleren bij instituten die ook zelf ondertekening doen. Het idee was dat adoptie makkelijker zou zijn bij partijen die beide rollen in zich verenigen. De voorwaarde die wij aan onze bijdrage hebben gesteld was dan ook dat deelnemers minstens DNSSEC-ondertekening zouden doen, en bij voorkeur ook validatie. Op die manier konden wij beide kanten stimuleren terwijl we maar één partij hoefden aan te sturen.
Op dit moment valideren de Universiteit Twente, de Rijksuniversiteit Groningen, het CWI en AMOLF voor al hun medewerkers. Bij de twee universiteiten wordt bovendien voor alle studenten gevalideerd. Het gaat het dan maar liefst om respectievelijk 30 en 100 duizend apparaten die allemaal gebruikmaken van DNSSEC. Die schaal is heel belangrijk om ISP's te laten zien dat het allemaal niet zo ingewikkeld is: je kunt validatie in de meeste gevallen gewoon aanzetten.
Intensievere samenwerking
De tweede reden voor ons om mee te doen was de mogelijkheid om onze banden met de onderzoeks- en onderwijsinstellingen verder aan te halen en onze zichtbaarheid in deze wereld te vergroten. We hebben hier immers een eigen onderzoeksteam zitten: SIDN Labs. Dit was voor ons een goede gelegenheid om de samenwerking met universiteiten en SURFnet te verstevigen.
Dat werkt twee kanten op: door bij te dragen aan het opwaarderen van de campus-netwerken willen we ook topklasse onderzoek in Nederland faciliteren. Een snel en veilig netwerk maakt het voor onderzoekers immers makkelijker om wetenschappelijk werk uit te voeren. Dat sluit direct aan bij de ambities en doelstellingen van SURFnet en dient een maatschappelijk belang dat veel breder is dan DNSSEC of het .nl-domein.
Andersom versterken we met onze inzet in de Campus Challenge ook ons innovatieve imago in de onderwijs en onderzoekswereld, waarmee we bijvoorbeeld nieuwe collega's, stagelopers en studentenprojecten aantrekken.
DNS als core business
SIDN Labs besteedt elk jaar een behoorlijk bedrag aan externe R&D. Daarmee investeren we onder andere in de verdere beveiliging van het internet in Nederland en dat van het .nl-domein in het bijzonder. Dat geld gaat bijvoorbeeld op aan sponsoring van het Privacy & Identity Lab en NLnet Labs. De ton die we aan de Campus Challenge hebben bijgedragen is een substantieel deel van onze jaarlijkse begroting.
Hoewel we ook investeren in de uitrol van IPv6 en dat ook onderdeel was van de Campus Challenge, hebben we hier specifiek gekozen voor DNSSEC. Beide zijn belangrijk, maar die laatste technologie ligt dichter bij ons; we werken daar bij SIDN Labs elke dag aan. Bovendien zijn wij de enige aangewezen partij met DNS als core business, terwijl er ook andere zijn die zich met IPv6 bezighouden.
Technologiepartner
De opbrengsten van deze investering in DNSSEC zien we onder andere terug in de contacten die we nu onderhouden met die instellingen. Maar voor het CWI — ooit ons moederbedrijf — was het bijvoorbeeld ook aanleiding om zich als rechtstreekse registrar bij ons aan te melden.
Daarnaast zijn we bij de verschillende projecten ook als technologiepartner betrokken geweest. Bij aanvang zijn we bij alle winnaars van de Campus Challenge langs geweest om kennis te maken, zodat men ons wist te vinden. Onze DNSSEC-specialisten hebben dan ook regelmatig kunnen helpen om een implementatie weer op weg te helpen als men ergens vastgelopen was.
Opvallend daarbij was dat kennisniveau van DNSSEC tussen de verschillende instellingen behoorlijk uiteen liep. Zo hadden het CWI, AMOLF en Nikhef een gezamenlijk projectplan ingediend. Het CWI had al veel expertise in huis en was in die samenwerking bijvoorbeeld leidend ten opzichte van AMOLF dat juist weer veel kennis van IPv6 heeft.
Tevreden
Al met al zijn we heel tevreden over hoe de Campus Challenge verlopen is en wat ons dat opgeleverd heeft. De adoptie is heel goed gelukt: alle vijf winnaars hebben DNSSEC uitgerold en het merendeel doet ook validatie, waarvan twee op grote schaal voor hun hele campusnetwerk.
Wat betreft het intensiveren van de relaties met de onderzoeks- en onderwijsinstellingen zijn we redelijk tevreden. We hebben daar gekozen om SURFnet als belangrijkste organiserende partij in de Campus Challenge het voortouw te laten nemen en hen de projecten van de challenge te laten managen. Hierdoor hebben wij ons vanuit SIDN op de technische aspecten van de implementatie kunnen richten en de winnaars kunnen helpen met hun vragen op het gebied van DNSSEC. Een volgende keer zouden we er wel de voorkeur aan geven om kleinere en gerichtere challenges uit te schrijven. Dat maakt het makkelijker om direct bij de projecten betrokken te zijn.
Nederlandse internet
Tenslotte was het interessant om te leren wat de belangrijkste argumenten van de instellingen waren om met DNSSEC aan de slag te gaan. Ten eerste wilden zij hun netwerk zo veilig mogelijk maken. DNSSEC-ondertekening en -validatie waren daar een belangrijk onderdeel van. Bovendien wilden ze dat ook graag laten zien. De tweede reden was dan ook dat de instellingen zich graag profileerden als organisaties die de techniek goed in de vingers hebben, innovatief zijn, en voorop lopen bij de implementatie van nieuwe technologieën.
Mooie opsteker voor ons is dat deze twee argumenten naadloos aansluiten bij de doelstellingen van SIDN zelf: wij lopen graag wereldwijd voorop met DNSSEC. Door de veiligheid van internet en de .nl-zone te verbeteren, vergroten we de waarde van het internet voor de Nederlandse maatschappij en economie.
Auteur: Cristian Hesselman
Functie: Manager SIDN Labs
Bij SIDN sinds: 2011
Relevante opleidingen:
Informatica aan de Universiteit Twente (M.Sc. 1996, Ph.D. 2005)
Vorige werkgevers:
Senior onderzoeker en project manager bij Telematica Instituut, software design engineer bij Lucent Technologies.
Wat ik doe bij SIDN:
Ik ben verantwoordelijk voor SIDN Labs, het R&D-team van SIDN. Ik zorg voor de hoofdlijnen van onze R&D-activiteiten en ontwikkel nieuwe projecten, zowel intern als samen met onze R&D-partners.
De doelen van SIDN Labs zijn:
- SIDN verder ontwikkelen als toonaangevend expertisecentrum op het gebied van internettechnologie en het ondersteunen van de internet community,
- ontwikkelen van nieuwe technieken en systemen om SIDN's diensten verder te innoveren, en
- faciliteren van onderzoek buiten SIDN dat een toegevoegde waarde biedt voor .nl en voor (de internationale positie van) Nederland.
Terug naar het nieuwsoverzicht