Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Nieuws

Volg hier ons laatste nieuws.

Monshouwer breidt publicatiestatistieken uit met percentage DNSSEC-ondertekend

Kees Monshouwer heeft zijn DNSSEC-grafiek uitgebreid met het percentage ondertekende domeinnamen. Omdat wij deze grafiek zelf regelmatig op deze site hebben gebruikt, maken we hier graag melding van.

Lees verder...

Gepubliceerd op 26-03-2015

Tweeluik DANE: TLSA records voor het web en voor mail

DANE is een protocol voor het veilig publiceren van publieke sleutels en certificaten dat voortbouwt op DNSSEC. Hoewel DANE dus breder inzetbaar is, doet het op dit moment zijn eerste intrede met name in de wereld van de web-certificaten (HTTPS) en de beveiliging van mail-transport (SMTP). In dit artikel focussen we daarom specifiek op de inzet van DANE voor het beveiligen van TLS — officieel DANE TLSA geheten.

Het eerste deel van dit tweeluik beschrijft de TLSA records en hun praktische inzet voor websites. In dit tweede deel laten we zien hoe DANE gebruikt kan worden om mail gateways cryptografisch te beschermen.

Gepubliceerd op 18-03-2015

RijksDNS valideert DNSSEC; ondertekening volgt later dit jaar

RijksDNS is een infrastructuurdienst van SSC-ICT Haaglanden. Hun resolvers zijn in principe voor iedereen op het Rijksnetwerk beschikbaar. In totaal gaat het om 30 duizend gebruikers. Validatie van DNSSEC werkt inmiddels zonder problemen. Komend jaar worden ook alle negentig domeinen ondertekend.

SSC-ICT Haaglanden valt onder het Ministerie van BZK en is verantwoordelijk voor de ICT-dienstverlening aan bijna alle Nederlandse ministeries. Het onderdeel bedient naast BZK ook IenM, Financiën, VWS en SZW, die tesamen goed zijn voor bijna tweeduizend applicaties. In 2014 zijn daar de ICT-afdelingen van Justitie, BZ en AZ bijgekomen. De organisaties en hun infrastructuur worden op dit moment in het grotere geheel geïntegreerd.

Lees hier het volledige artikel

Gepubliceerd op 17-02-2015

Aandachtspunten bij de configuratie van PowerDNS voor DNSSEC

PowerDNS is de meest gebruikte autoritatieve/administratieve DNS-server bij registrars die in bulk hun domeinen ondertekenen. Naar aanleiding van de ervaringen bij die implementaties heeft hoofdontwikkelaar Bert Hubert al eerder een aantal tips op een rijtje gezet. In dit artikel voegen we daar nog drie recente aandachtspunten aan toe.

Lees hier het volledige artikel

Gepubliceerd op 12-02-2015

Edutel doet al vijf jaar DNSSEC-validatie voor zijn klanten

Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet het Brabantse Edutel dat inmiddels al vijf jaar voor zijn klanten. Langzamerhand volgen meer access providers dit voorbeeld, waarmee het belang van een foutloze registratie bij houders en registars van domeinen snel groter wordt.

Edutel levert internet over glas aan Brabantse particulieren en MKB-ers. Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet Edutel dat al sinds 2009 voor zijn klanten. Destijds kwam de veiligheid van DNS negatief in het nieuws, vertelt Network/System Engineer Michiel Piscaer. Dus toen DNSSEC beschikbaar kwam, zijn we het gelijk gaan gebruiken. En sindsdien hebben we het niet meer uitgezet. Al onze klanten krijgen via DHCP onze DNS resolvers aangeboden en zijn op die manier beschermd tegen DNS-gebaseerde aanvallen.

Lees hier het volledige artikel

Gepubliceerd op 30-01-2015

Yourhosting ondertekent meer dan 200 duizend domeinen, en meer volgt

Vorige week brak het aantal ondertekende .nl-domeinen door de twee miljoen. Het bereiken van deze nieuwe mijlpaal hebben we onder andere te danken aan Yourhosting. Deze registrar ondertekende afgelopen week meer dan 200 duizend domeinen.

We hebben in totaal 227 duizend .nl-domeinen, vertelt Bart Carlier, general manager bij Yourholding. Voor 214 duizend daarvan zijn wij ook de operator. Die zijn inmiddels allemaal met DNSSEC beveiligd.

Lees hier het volledige artikel

Gepubliceerd op 11-12-2014

DNSSEC op Infoblox: een kwestie van aanklikken

Wel extra aandacht nodig voor tijdsynchronisatie en crypto-algoritmen

Wie al Infloblox-appliances in huis heeft en zijn domeinen wil ondertekenen of zijn resolvers wil laten valideren, hoeft daarvoor in principe maar heel weinig te doen. In beide gevallen is het slechts een kwestie van aanklikken. Voordat je zo ver bent, is het echter wel belangrijk om de default-instellingen voor DNSSEC aan te passen. Bovendien vereist DNSSEC een goed gesynchroniseerde systeemtijd. In dit artikel bespreken we alles wat nodig is om tot een goede DNSSEC-configuratie op Infoblox te komen.

Lees hier het volledige artikel

Gepubliceerd op 08-12-2014

Twee miljoen .nl-domeinen ondertekend

Vandaag is het aantal ondertekende .nl-domeinen door de twee miljoen gebroken. Daarmee is nu 36 procent van de ruim 5,5 miljoen domeinen met DNSSEC beveiligd. De wereldwijde toppositie die Nederland hiermee bekleedt hebben we vooral te danken aan de grote registrars die de domeinen van hun klanten in bulk hebben ondertekend.

Het bereiken van deze nieuwe mijlpaal is nog maar een paar maanden nadat we trots aankondigden dat eenderde van alle .nl-domeinen was ondertekend. Met name de registrars Yourhosting en Antagonist zijn verantwoordelijk voor deze laatste groeispurt.

Lees verder...

Gepubliceerd op 05-12-2014

Gemeente 's-Hertogenbosch valideert DNSSEC op basis van Unbound

Progressief in techniek, conservatief in beveiliging

Hoewel de gemeente 's-Hertogenbosch zijn hoofddomein nog niet ondertekend heeft, zijn bijvoorbeeld DKIM, SPF en DMARC wel al geïmplementeerd. Hetzelfde geldt voor de validatie van DNSSEC. Als de huidige verbouwing is afgerond zal de DNSSEC-infrastructuur verder worden geconfigureerd. DKIM kan eigenlijk niet zonder DNSSEC-ondertekening.

Lees hier het volledige artikel

Gepubliceerd op 13-11-2014

DNSSEC-inventarisatie: grote verschillen tussen sectoren

Met name financials, grote ondernemingen, overheden en ISP's moeten aan de bak

Om beter inzicht te krijgen in de opbouw van het beveiligde domeinbestand hebben we gedetailleerder gekeken naar de toepassing van DNSSEC in verschillende sectoren. Wat je zou hopen en verwachten is dat organisaties waar veiligheid, geloofwaardigheid en betrouwbaarheid een belangrijke rol spelen hun hoofddomeinen vaker dan gemiddeld ondertekend hebben. Onze inventarisatie laat echter precies het tegenovergestelde zien: deze organisaties blijken juist het slechtst te presteren voor wat betreft de toepassing van DNSSEC.

Lees hier het volledige artikel

Gepubliceerd op 09-09-2014

Seminar 'Nieuwe internetstandaarden' op 9 oktober in Den Haag

Op donderdag 9 oktober vindt in Den Haag het Seminar 'Nieuwe internetstandaarden' plaats. Die middag wordt er onder andere gesproken over DNSSEC, DKIM en DMARC.

Die laatste twee technologieën bouwen voort op DNS(SEC) en bieden een validatie-mogelijkheid voor het bestrijden van spam en malware. Daarbij voorziet DKIM zowel mail body als headers van een digitale handtekening die via DNS gevalideerd kan worden.

DMARC gebruikt het DNS-systeem om policies voor DKIM en SPF te publiceren. Daarin specificeert de domeinbeheerder welke servers als mail gateway mogen fungeren, en wat te doen met berichten die van een ander systeem afkomstig zijn. Bovendien gebruiken grote mailverwerkers als Google, Microsoft en Yahoo! DMARC om informatie over binnenkomende berichten terug te sturen naar de beheerder.

Lees verder...

Gepubliceerd op 03-09-2014

Eenderde van alle .nl-domeinnamen met DNSSEC beveiligd

Flexwebhosting ondertekent 80 duizend domeinnamen in een weekend

Inmiddels zijn bijna 1,9 van de 5,5 miljoen .nl-domeinnamen ondertekend. Daarmee is nu eenderde van het Nederlandse bestand met DNSSEC beveiligd. Er is wereldwijd geen ander top-level domein met zo veel ondertekende domeinnamen.

De meest recente bump in DNSSEC-gebruik hebben we te danken aan webhoster Flexwebhosting. Zij hebben vorig weekend in één keer bijna 80 duizend .nl-domeinnamen ondertekend. We hebben onze DNS-infrastructuur al een jaar geleden op deze stap voorbereid, vertelt consultant Aleksandar Skodric. Onze hidden master ns0 draait PowerDNS met MySQL. Vandaaruit worden de zones verdeeld naar onze drie publieke servers.

Lees verder...

Gepubliceerd op 01-09-2014

Hands-on: OpenDNSSEC automatiseert hele DNSSEC-proces

Installatie vraagt wel goed begrip van onderliggende technologie

Hoewel de ondersteuning van DNSSEC in DNS-server-software steeds beter wordt, is deze nog nergens compleet. De publicatie van een eenmaal ondertekende zone lukt inmiddels prima, maar het up-to-date houden van die informatie vraagt nog steeds om handwerk of het schrijven van scripts. BIND — de meest gebruikte DNS-server — en PowerDNS — met name populair hier in Nederland — doen het wat dat betreft beter dan andere veelgebruikte pakketten, zoals NSD, Knot en Yadifa. De laatste versies van BIND bieden inmiddels configuratie-opties om het hertekenen van de zone te automatiseren als veranderingen in de zone file of de sleutels dat nodig maken.

Waar het echt nog aan schort is sleutelbeheer. Met behulp van scripts kun je met BIND of PowerDNS als basis zonder al te veel knutselwerk een heel eind komen, ook in bedrijfsmatige omgevingen. Maar wie bekend is met RFC 6781 ("DNSSEC Operational Practices, Version 2") weet dat hier nog wel wat haken en ogen aan kunnen zitten.

Lees verder...

Gepubliceerd op 31-08-2014

RHEL/CentOS 7 voorzien van Bind versie 9.9

Met de release van de laatste RHEL/CentOS Linux distributie is de Bind DNS-server opgewaardeerd van versie 9.8 naar 9.9. Dat is met name interessant voor gebruikers van DNSSEC, omdat daarmee een nieuwe optie beschikbaar is gekomen om de ondertekening van de zone records verder te automatiseren.

Vorige maand lanceerde Red Hat versie 7 van zijn Enterprise Linux systeem RHEL, een paar weken later gevolgd door de community-variant CentOS. Deze Linux distributie is voorzien van Bind 9.9, terwijl dit voor de vorige versie van RHEL nog Bind versie 9.8 was.

Lees verder...

Gepubliceerd op 29-07-2014

DNSSEC-sessies op ICANN-bijeenkomst in Londen

Deze week houdt ICANN, de organisatie die verantwoordelijk is voor de coördinatie van het wereldwijde DNS-systeem, in Londen zijn vijftigste bijeenkomst.

Ook DNSSEC komt daar uitgebreid aan de orde, en wel in een drietal sessies:

  • DNSSEC for Everybody: A Beginner's Guide (maandag 23 juni):
    DNSSEC continues to be deployed around the world at an ever accelerating pace. Businesses and ISPs are building their deployment plans too and interesting opportunities are opening up for all as the rollout continues. In this session we hope to demystify DNSSEC and show how you can easily and quickly deploy DNSSEC yourself.
  • Informal Gathering of DNSSEC Implementers (maandag 23 juni):
    On behalf of the DNSSEC Deployment Initiative DNSSEC Implementers are invited to attend an informal gathering to discuss and exchange information on their DNSSEC implementation experiences. This is a peer-to-peer event for implementers.
  • DNSSEC Workshop (woensdag 25 juni, 8:30-14:45 BST):
    This session is a public presentation and discussion with those actively engaged in the deployment of DNSSEC. Registries, registrars, ISP's and others who plan to deploy DNSSEC services will benefit from the presentation and discussion of the deployment experience.
    Agenda:
    • Introduction and DNSSEC Deployment Around the World
    • DNSSEC Activities in the European region
    • The Operational Realities of Running DNSSEC
    • DANE and DNSSEC Applications
    • DNSSEC Automation
    • Panel Discussion/Demonstrations on Hardware Security Modules (HSMs)

Lees verder...

Gepubliceerd op 24-06-2014

Universiteit Twente implementeert DNSSEC op compleet vernieuwde DNS-infrastructuur

Voor studenten is dit de ideale manier om hands-on ervaring op te doen

Deze maand heeft de Universiteit Twente de implementatie van DNSSEC afgerond. Daarmee is onder andere het hoofddomein utwente.nl ondertekend en zijn alle resolvers van validatie voorzien. Waar de DNS-infrastructuur voorheen bestond uit twee autoritatieve servers, is die nu vervangen door vijf fysieke en twee gevirtualiseerde systemen, alle gebruikmakend van Bind op Ubuntu Linux. Daarmee worden ongeveer 825 eigen domeinnamen beheerd en bij elkaar zo'n 30 duizend apparaten bediend.

Dit project was onderdeel van de Campus Challenge, een competitie georganiseerd door SURFnet en SIDN. De implementatie van DNSSEC was daar een onderdeel van. Omdat een installatie op basis van Infoblox niet bleek aan te sluiten bij hun manier van werken, heeft de UT ervoor gekozen hun nieuwe DNS-infrastructuur helemaal zelf op te bouwen. Hoewel dat wel een paar maanden vertraging opleverde ten opzichte van de originele planning, was dit uiteindelijk voor zowel beheerders als twee betrokken afstudeerders een veel interessanter en leerzamer traject.

Lees hier de volledige case

Gepubliceerd op 18-06-2014

BIND10: wel veilig en stabiel, maar nog niet compleet

Dit voorjaar heeft ISC versie 1.2.0 van BIND10 aan de internet community overgedragen. Daarmee is dit project wat hen betreft afgerond. Hoewel de technische internet-gemeenschap had gehoopt dat ISC zelf de verdere ontwikkeling van deze DNS-server op zich zou nemen, hebben de bouwers om financiële redenen het BIND10-project helemaal stop moeten zetten.

Voormalig projectleider Shane Kerr spreekt online duidelijk zijn teleurstelling over de hele gang van zaken uit. Volgens hem was het geen goed idee om BIND 9 en 10 naast elkaar te ontwikkelen. Ook ISC zelf geeft in zijn laatste persbericht aan daar de resources niet voor te hebben. De ontwikkeling van de software werd tot nu toe door meer dan een dozijn internet-organisaties en bedrijven gesponsord, waaronder ook SIDN, de beheerder van het .nl-domein.

Lees verder...

Gepubliceerd op 12-06-2014

Vijf nieuwe DNSSEC-implementaties

Op weg naar een veiliger internet voor Nederlandse maatschappij en economie

De afgelopen maanden zijn er maar liefst vijf nieuwe DNSSEC-projecten gestart, waarvan vier inmiddels ook succesvol afgerond. Dat is de uitkomst van de Campus Challenge waar SIDN zowel geld als expertise aan bij heeft gedragen. Voorwaarde was dat de deelnemers — alle afkomstig uit de academische en onderzoekswereld — DNSSEC zouden uitrollen, het liefst ook met validatie.

Voor SIDN was het vooral belangrijk dat er meer gevalideerd zou worden. Daarmee wordt de meerwaarde van al die ondertekende domeinnamen in de .nl-zone ook daadwerkelijk benut. Daarnaast was het een goede gelegenheid om de banden van SIDN Labs — ons eigen R&D-team — met universiteiten, onderzoeksinstituten en SURFnet aan te halen.

Lees verder...

Gepubliceerd op 01-05-2014

Rijksuniversiteit Groningen valideert DNSSEC voor 100 duizend apparaten

Sinds kort valideert de Rijksuniversiteit Groningen DNSSEC voor al haar gebruikers. In totaal gaat het maar liefst om 100 duizend apparaten. Bovendien heeft de universiteit de eigen domeinnaam ondertekend. Meer domeinen, subdomeinen, servers en clients volgen.

Veiligheid is het belangrijkste argument om met DNSSEC aan de slag te gaan. In het verleden werd al het gebruik gedetecteerd van Russische nameservers, waarmee man-in-the-middle-aanvallen uitgevoerd konden worden. Door het gebruik van de eigen resolvers af te dwingen, kan deze kwetsbaarheid getackeld worden.

Lees hier de volledige case

Gepubliceerd op 23-04-2014

CWI voortrekker bij implementatie DNSSEC op Science Park

De onderzoeksinstituten CWI, AMOLF en Nikhef hebben het afgelopen jaar DNSSEC volledig geimplementeerd. Door hun eigen domeinnamen te ondertekenen en die van anderen te valideren, hebben zij de beveiliging van hun infrastructuur naar een hoger plan getild. De techniek is op zichzelf niet zo heel spannend, zegt hoofd systeembeheer Aad van der Klaauw. Het gaat om het maatschappelijk belang van een veiliger internet.

Deze implementatie was onderdeel van de Campus Challenge, een competitie georganiseerd door SURFnet en SIDN. Daarin deden bovendien nog vier andere onderzoeksinstellingen mee. Voor het CWI was deze wedstrijd dan ook een goede gelegenheid om de banden met andere instituten aan te halen, en kennis en technologie uit te wisselen.

Lees hier de volledige case

Gepubliceerd op 01-04-2014