Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Nieuws

Volg hier ons laatste nieuws.

Hands-on: DNSSEC-ondertekening op BIND named

Beheerders die zelf hun DNS-dienst onderhouden maken daarvoor meestal gebruik van BIND named, de meest gebruikte DNS-server buiten de wereld van de grote registrars. BIND named kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel behandelen we de ondertekening van een zone op een autoritatieve name-server. De configuratie van named als DNSSEC-validerende resolver lees je in een ander artikel.

De DNSSEC-functionaliteit van BIND is over de afgelopen jaren stapsgewijs ontwikkeld en inmiddels een volwassen onderdeel van deze DNS-server geworden. Dat betekent wel dat er aanzienlijke verschillen zijn tussen achtereenvolgende (minor) versies.

Waar mogelijk en relevant geven we in dit artikel steeds aan vanaf welke versie een bepaalde feature ondersteund wordt. Dat is met name van belang voor gebruikers van enterprise-platforms, omdat die uit stabiliteits- en veiligheidsoverwegingen in het algemeen niet de meest recente software-versies gebruiken. Daarnaast kan het heel goed zijn dat de BIND-software op een bestaande server inmiddels opgewaardeerd is via het package management systeem van het operating system, maar de gebruikte configuratie nog is gebaseerd op een oudere versie.

Lees hier het hele artikel

Gepubliceerd op 08-03-2018

SIDN sluit pilot DNSSEC-validerende DNS service succesvol af

Nederlandse access providers moeten dringend gaan valideren

De afgelopen twee jaar draaide SIDN een pilot met een DNSSEC-validerende DNS-dienst. Het primaire doel was om zelf informatie te verzamelen over problemen veroorzaakt door validatiefouten. Vijf jaar geleden vormde het aantal DNSSEC-configuratiefouten in de .nl zone een serieus probleem voor validerende resolvers, waarna SIDN diverse maatregelen heeft genomen om deze fouten terug te dringen. Desondanks bleven access providers dit probleem als argument gebruiken om validatie op hun resolvers niet in te hoeven schakelen.

Het tweede doel was om te onderzoeken of SIDN een dergelijke dienst misschien voor een breed publiek beschikbaar zou moeten maken. Met een validerende DNS service zou enerzijds het gat dat de access providers laten liggen worden gevuld. Anderzijds zou daarmee een niet-commerciële tegenhanger van Google's Public DNS beschikbaar komen. Belangrijke meerwaarde daarbij is dat de privacy van de gebruikers dan wél volledig wordt gewaarborgd.

Lees verder...

Gepubliceerd op 27-02-2018

Getdns software library genomineerd voor ISOC.nl Innovatie Award

De DNS library getdns genomineerd voor de ISOC.nl Innovatie Award 2018, maar heeft deze prijs uiteindelijk toch niet gewonnen. Afgelopen januari werd de Award toegekend aan Let's Connect (eduVPN), open source software om een VPN-infrastructuur op te zetten.

Getdns

Getdns is een asynchrone DNS-resolver (library) die de applicatieprogrammeur alle zorgen en complexiteit rondom domain name resolving uit handen neemt. Naast DNSSEC (validatie) worden bijvoorbeeld ook DNSSEC Roadblock Avoidance (RFC 8027) en DNS over TLS (RFC 7858; DNS Privacy) ondersteund. De code zelf is geschreven in de programmeertaal C, maar er zijn ook bindings (wrappers) voor Python (pygetdns) en nodejs beschikbaar. Voor bestaande software kan de getdns stub resolver Stubby als externe systeemcomponent ingezet worden.

Lees verder...

Gepubliceerd op 12-02-2018

PowerDNS Recursor versie 4.1 gepubliceerd, upgrade aangeraden

Net voor de jaarwisseling is versie 4.1 van de PowerDNS Recursor uitgebracht. Dat is ruim een jaar na de publicatie van versie 4.0, de eerste Recursor die ook DNSSEC-validatie deed.

In die tussentijd hebben de ontwikkelaars — samen met grote gebruikers — gewerkt aan de performance en inzetbaarheid van de software. De nieuwe versie is sneller (zowel in doorvoer als in responsetijd), robuuster en schaalbaarder. Daarmee is PowerDNS Recursor volgens de makers klaar voor het zware werk in grote productie-omgevingen.

Lees verder...

Gepubliceerd op 12-02-2018

DANE als standaard voor aanbestedingen erkend door de EC

De Europese Commissie heeft DANE voor zowel mail als web erkend als officiële standaard voor gebruik in aanbestedingen. Specifiek wordt aan dergelijke standaarden de eis gesteld dat zij open, transparant, onpartijdig en op basis van consensus ontwikkeld worden — dat alles ten behoeve van de technische interoperabiliteit tussen overheidsorganisaties in de EU.

Lees verder...

Gepubliceerd op 12-02-2018

DNSSEC-adoptie bij overheden stagneert, ondanks verplichtingen en beloften

De groei in de toepassing van DNSSEC op Nederlandse overheidssites is snel afgenomen, zo blijkt uit de laatste 'meting Informatieveiligheidsstandaarden' van Forum Standaardisatie. In een jaar tijd is de adoptie gegroeid van 44 naar 66 procent (in juli 2017). Halverwege die periode stond de teller echter al op 61 procent. Daarmee doet DNSSEC het van alle zes gemeten standaarden nu het slechtst.

Lees verder...

Gepubliceerd op 28-11-2017

Nieuwe DANE SMTP checker voor mail

Met de onlangs gepubliceerde DANE SMTP checker kan de hele vertrouwensketen van DANE voor mail worden gevalideerd. De tool voert daartoe de volgende stappen uit:

  1. controleer of DNSSEC-validatie op de gebruikte resolver aan staat
  2. controleer of het te testen mail-domein met DNSSEC is ondertekend
  3. controleer of alle MX gateways van een TLSA record zijn voorzien, en dat deze records overeenkomen met de TLS-certificaten op de betreffende servers
  4. controleer de geldigheid van de certificaat-keten voor een specifiek tijdstip in de toekomst.

De DANE SMTP checker is ontwikkeld door Viktor Dukhovni en als open source op GitHub gepubliceerd onder een eigen licentie. De tool is een alternatief/aanvulling op de e-mail test op Internet.nl en de meer generieke GnuTLS DANE tool.

Gepubliceerd op 28-11-2017

Hands-on: DNSSEC-validatie op BIND named

BIND named, de meest gebruikte DNS-server, kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel bespreken we de configuratie van named als DNSSEC-validerende resolver. De ondertekening van een zone op een autoritatieve name-server wordt in een ander artikel behandeld.

Juist omdat er al zo veel bestaande BIND-implementaties zijn — sommige draaien al jarenlang — hebben we bij alle features zo veel mogelijk de versienummers gegeven waarbij de betreffende optie in de software beschikbaar is gemaakt. Desondanks raden we aan om een zo'n recent mogelijke versie van BIND te gebruiken, al was het alleen maar omdat in de tussentijd natuurlijk ook bugs en security-problemen uit de software zijn gehaald.

Lees hier het hele artikel

Gepubliceerd op 06-10-2017

Root KSK roll-over uitgesteld

Beheerders van validerende resolvers dringend aangeraden om hun trust anchors op te waarderen

Gisteren heeft ICANN bekend gemaakt het moment waarop de daadwerkelijke root KSK roll-over plaats zou vinden — 11 oktober aanstaande — tot nader order uit te stellen. De reden is dat naar verwachting een aanzienlijk aantal Internet-gebruikers die dag in de problemen zou zijn gekomen. Na de roll-over zijn namelijk alle Internet-domeinen onbereikbaar voor gebruikers van resolvers die nog niet van het nieuwe KSK-2017 trust anchor zijn voorzien.

Lees verder...

Gepubliceerd op 29-09-2017

Vernieuwde Internet.nl-portal groeit sterk in gebruik

De Internet.nl-portal is deze zomer vernieuwd. Belangrijkste verbeteringen zitten in de gebruikersinterface en het grafisch ontwerp. Er wordt nu gebruik gemaakt van een responsive design, waarmee de portal beter toegankelijk is geworden voor mobiele gebruikers. Daarnaast is de vernieuwde site overzichtelijker en duidelijker in het gebruik.

De Internet.nl-portal biedt bezoekers de mogelijkheid hun verbindingen en domeinen te testen op de toepassing van een zestal moderne internet-standaarden: IPv6, DNSSEC, HTTPS, DMARC, STARTTLS en DANE. De uitkomsten resulteren in een score, waarmee gebruikers ook een kwantitatieve indicatie krijgen van hun "compliance". Volgens Bart Knubben, project manager bij het Platform Internetstandaarden, laat meer dan de helft van de domeinen bij herhaald testen een hogere score zien. Dat suggereert dat de portal inderdaad gebruikt wordt om verbeteringen door te voeren.

Lees verder...

Gepubliceerd op 27-09-2017

Hands-on: DNSSEC-ondertekening op Windows Server 2016

Jarrod Farncomb, een Australische systeembeheerder, heeft op zijn site een hands-on artikel gepubliceerd over de configuratie van DNSSEC op Windows Server 2016. Uitgangspunt is een Active Directory domain controller die al fungeert als autoritatieve DNS-server. Aan de hand van screenshots en bijbehorende uitleg loopt Farncomb door het hele proces van ondertekening heen.

Lees verder...

Gepubliceerd op 27-09-2017

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan wordt het de hoogste tijd om dat alsnog te doen. Vanaf 11 oktober zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die niet van het nieuwe trust anchor zijn voorzien.

In dit artikel laten we zien hoe je de beschikbaarheid van het nieuwe trust anchor kunt controleren.

Gepubliceerd op 18-09-2017

Automatische installatie nieuwe DNSSEC trust anchor

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.

Lees hier het volledige artikel

Gepubliceerd op 24-07-2017

Ook Belgische banken scoren heel slecht op DNSSEC-beveiliging

Slechts één procent van de Belgische banken heeft zijn domeinnaam met DNSSEC ondertekend. Zo blijkt uit een analyse van Domeinnaam.tips. De redactie vindt deze bevindingen zorgwekkend. Banken zouden de eerste gebruikers van DNSSEC moeten zijn. De sector is één van de vaakst gekozen doelwitten van internetcriminelen en heeft het meest last van phishing en spoofing.

Lees verder...

Gepubliceerd op 18-07-2017

Update: nieuwe DNSSEC-functionaliteit voor sleutelbeheer

Unbound 1.6.4 doet 'key tag signaling'

Met de release van versie 1.6.4 ondersteunt Unbound nu ook 'key tag signaling' RFC 8145). Daarmee laten validerende resolvers aan een server weten welke sleutels zij als trust anchor gebruiken bij het opbouwen van de chain of trust. Op die manier krijgen beheerders van ondertekende domeinen informatie van client-zijde over de voortgang van een key roll-over.

Lees verder...

Gepubliceerd op 18-07-2017

Installatie trust anchor voor nieuwe root KSK

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS-root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Het eerste gedeelte van dit artikel behandelt de verschillende manieren waarop beheerders van validerende resolvers het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen kunnen installeren. Het tweede gedeelte richt zich specifiek op de handmatige update van het trust anchor en de automatische installatie via de update-functie van het operating system. De automatische installatie via DNSSEC zelf (op basis van RFC 5011) wordt in een follow-up artikel behandeld, tesamen met een overzicht van de meest gebruikte resolver software-pakketten en hun ondersteuning van deze feature.

Lees hier het volledige artikel

Gepubliceerd op 12-07-2017

De root KSK roll-over — veel gestelde vragen

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur vervangt door een nieuw sleutelpaar.

Beheerders van validerende resolvers moeten het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen installeren. Is dat uiterlijk op 11 oktober 2017 niet gebeurd, dan kunnen vanaf die dag de digitale handtekeningen onder de DNS-records niet meer gevalideerd worden. Daarmee zijn dan alle Internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar geworden.

Op deze pagina beantwoorden we de meest gestelde vragen over de root KSK roll-over.

Gepubliceerd op 27-06-2017

DANE update: ondersteuning neemt snel toe

DANE, een op DNSSEC gebaseerde standaard voor de beveiliging van web- en mail-verbindingen, is sterk in opkomst. Hieronder behandelen we het belangrijkste nieuws: NCSC adviseert het inschakelen van STARTTLS en DANE, en de ondersteuning van DANE groeit snel.

NCSC adviseert inschakelen STARTTLS en DANE

Het Nationaal Cyber Security centrum (NCSC) adviseert om STARTTLS en DANE in te schakelen, en op die manier het transport van mailberichten te beveiligen. Daartoe heeft deze organisatie de Factsheet 'Beveilig verbindingen van mailservers' gepubliceerd.

Lees verder...

Gepubliceerd op 08-05-2017

SIDN DNSSEC update: refresh .nl zone, Valibox 1.2.0, samenwerking NLnet Labs

De afgelopen weken heeft SIDN drie aankondigingen gedaan die ook voor DNSSEC relevant zijn:

  • .nl zone file elk half uur ververst
  • Nieuwe versie ValiBox biedt ook persoonlijke firewal
  • SIDN verlengt samenwerking en sponsoring NLnet Labs

Lees verder...

Gepubliceerd op 01-05-2017

Update DNSSEC crypto-algoritmen: RFC 8080, ECDSA, OpenDNSSEC 2.1.0

Met de publicatie van RFC 8080 afgelopen maand is een nieuw cryptografisch protocol aan DNSSEC toegevoegd. Algoritmen nummer 15 (ED25519) en 16 (ED448) specificeren het gebruik van EdDSA (Edwards-curve Digital Security Algorithm), een snel ECC public key protocol.

Daarmee zijn nu twee nieuwe alternatieven voor de langzame RSA-gebaseerde algoritmen beschikbaar naast ECDSA (algoritmen 13 en 14) dat sinds een jaar ook door SIDN ondersteund wordt. Ondersteuning voor de nieuwe EdDSA-algoritmen is waarschijnlijk binnen een paar maanden voor elkaar.

Hoewel ECDSA inmiddels steeds meer wordt gebruikt in het .com-domein, zijn we in Nederland nog niet zo ver.

OpenDNSSEC (SoftHSM) ondersteunt ECDSA vanaf versie 2.1.0 die vorige week werd gepubliceerd.

Gepubliceerd op 09-03-2017