Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Nieuws

Volg hier ons laatste nieuws.

Percentage fout geconfigureerde DNSSEC-domeinen meer dan gehalveerd

Het percentage DNSSEC-beveiligde .nl-domeinen dat niet goed geconfigureerd is, is in ruim een jaar tijd meer dan gehalveerd. Dat blijkt uit een scan die SIDN vorige week heeft uitgevoerd. Deze reductie is belangrijk voor de verdere invoering van DNSSEC. Validerende providers willen hun klanten immers niet opschepen met bereikbaarheidsproblemen die veroorzaakt worden door registrars en DNS-operators die hun zaakjes niet goed voor elkaar hebben.

Gepubliceerd op 03-03-2014

Ondersteuning voor veilige verhuizing van ondertekende domeinen is compleet

Hoewel DNSSEC in Nederland al bijna twee jaar geleden officieel is ingevoerd, is het verhuizen van beveiligde domeinen altijd een probleem gebleven. Je wilt immers dat een eenmaal ondertekend domein niet alleen bij de nieuwe registrar maar ook tijdens de hele overdracht beveiligd blijft.

Het daarvoor benodigde verhuisprotocol werd een paar jaar geleden al door Antoin Verschuren, Technisch Adviseur bij SIDN, bedacht en wordt inmiddels bij de IETF gestandaardiseerd.

Gepubliceerd op 03-02-2014

Helft van alle top-level domeinen nu ondertekend

Inmiddels is meer dan de helft van alle top-level domeinen (TLD's) ondertekend, zo meldde ICANN vorige week. Dat betekent dat alle houders van domeinen onder deze TLD's in principe DNSSEC kunnen aanzetten. Eventueel moeten zij daarvoor wel naar een andere (ondersteunende) registrar overstappen.

Gepubliceerd op 27-01-2014

SIDN wint Internet Innovatie Award met EPP key relay

De key relay uitbreiding van het EPP protocol heeft de Internet Innovatie Award 2014 gewonnen. Deze prijs voor vernieuwende en belangwekkende initiatieven rondom internet werd dit jaar voor het eerst uitgereikt door de Internet Society (ISOC.nl). Hij werd namens het team in ontvangst genomen door Antoin Verschuren, technisch adviseur bij SIDN en een van de bedenkers van de uitbreiding.

Gepubliceerd op 20-01-2014

Franse registry geeft DNSSEC impuls

In navolging van SIDN heeft ook Afnic, de beheerder van het Franse .fr top-level domein een stimuleringsregeling voor de invoering van DNSSEC in het leven geroepen. Dit als onderdeel van een meerjarig strategisch plan om de Franse internet-infrastructuur veiliger te maken.

Daartoe hebben de Fransen een (Engelstalige) deployment guide voor DNSSEC beschikbaar gemaakt. Daarin valt te lezen wat de kwetsbaarheden zijn van DNS, wat DNSSEC is en hoe je domein te ondertekenen, gevolgd door praktische voorbeelden. Die laatste bevatten niet alleen allerlei handige tips maar ook een heleboel concrete stukjes configuratie die ook voor niet-Franse DNS operators interessant kunnen zijn.

Daarnaast is in samenwerking met netwerk- en security specialist HSC een training opgezet voor Franse DNS operators.

Gepubliceerd op 13-01-2014

16 december: webinar "Update over anycast, DNSSEC en AbuseHUB voor ISP's"

Op maandag 16 december organiseert SIDN een webinar waarin onder andere DNSSEC wordt besproken. De nadruk zal daarbij meer op de validatie van al beveiligde namen liggen dan op de ondertekening van nog niet beveiligde domeinen. Inmiddels is immers bijna een derde van de .nl-domeinen (1,7 van de 5,4 miljoen) van deze cryptografische beveiliging voorzien. Daarmee loopt Nederland ver vooruit op de rest van de wereld. De validatie bij clients en caching name servers komt echter nu pas langzaam op gang.

Gepubliceerd op 06-12-2013

Mr. DNS: "We zitten al te lang met de risico's van een onbeveiligd DNS-systeem"

Een interview met Cricket Liu, mede-auteur van het standaardwerk 'DNS and BIND'

De op dit moment nog beperkte mogelijkheden voor de automatisering van het DNSSEC-beheer vormen de belangrijkste drempel voor de verdere invoering van deze beveiliging voor het DNS-systeem. Dat zegt Cricket Liu, Chief Infrastructure Officer bij Infoblox en mede-auteur van het standaardwerk 'DNS and BIND'. BIND versie 10 is een heel nieuw platform. Alle software is compleet herschreven. Tegelijkertijd heeft ISC veel functionaliteit voor de automatisering van DNSSEC aan de laatste versies van BIND 9 toegevoegd. En dat is maar goed ook. Anders waren al die BIND 9 gebruikers in de problemen gekomen. Die hadden dan naar versie 10 moeten overstappen, terwijl dat echt een heel ander systeem is.

Lees hier het volledige interview

Gepubliceerd op 26-11-2013

Eerste beveiligde verhuizing van een ondertekend domein succesvol uitgevoerd

De eerste beveiligde verhuizing van een ondertekend domein is deze zomer succesvol uitgevoerd, nog op dezelfde dag dat SIDN het 'key relay' commando voor zijn registrars beschikbaar maakte. Een goede implementatie zou niet langer dan een paar dagen hoeven duren. Eigenlijk zou iedereen die nu DNSSEC aanbiedt op zijn minst als latende partij het verhuisprotocol moeten ondersteunen.

Dat het verhuizen van een ondertekend domein naar een nieuwe registrar in principe mogelijk was zonder de beveiliging te verbreken, was al langer bekend. Het afgelopen jaar hebben de technici bij SIDN, de beheerder van het .nl top-level domein, dit verhuisprotocol verder uitgewerkt. Het grootste obstakel om daadwerkelijk tot implementatie over te kunnen gaan, was dat er tot voor kort geen mogelijkheid bestond voor de registrars om sleutelmateriaal uit te wisselen, een vereiste om deze transacties af te kunnen wikkelen.

Lees hier het volledige case-verhaal

Gepubliceerd op 19-11-2013

Nieuwe kwetsbaarheden in DNS maken DNSSEC-validatie noodzakelijk

In de afgelopen weken zijn er twee wetenschappelijke studies verschenen die nieuwe kwetsbaarheden in het DNS-systeem beschrijven. Daarnaast is er wederom een aantal registrars en registrar resellers gehackt, wat duidelijk maakt dat DNS en de provisioning van DNS steeds vaker doelwit zijn van aanvallen op de internet-infrastructuur.

Er zijn al veel individuele kwetsbaarheden om bij te houden. Er is echter wel één ding dat professionele internet-infrastructuurleveranciers kunnen doen om niet vatbaar te zijn voor een toenemend aantal kwetsbaarheden. Door DNSSEC-validatie te doen op DNS resolvers, zijn de meeste aanvallen niet mogelijk.

Lees hier het volledige case-verhaal

Gepubliceerd op 28-10-2013

DNSSEC en IPv6 vanaf 2014 verplicht bij ICANN

Vanaf 1 januari 2014 zijn registries en geaccrediteerde registrars verplicht om DNSSEC en IPv6 te ondersteunen. Dat is onderdeel van de nieuwe RAA-overeenkomst (Registrar Accreditation Agreement).

Daarin staat dat registrars hun klanten de mogelijkheid tot het toevoegen, wijzigen en verwijderen van sleutelmateriaal moeten aanbieden, voor al hun registries die DNSSEC ondersteunen. Meer specifiek gaat het dan om de EPP-uitbreidingen voor DNSSEC zoals die zijn vastgelegd in RFC 5910. Grote kans dat tegen die tijd ook het verhuisprotocol dat de afgelopen maanden door SIDN is uitgewerkt en geïmplementeerd onderdeel is van de DNSSEC/EPP-standaard.

Gepubliceerd op 16-10-2013

EPP 'key relay': een structurele oplossing voor de DNSSEC-verhuisproblematiek

Deze zomer is een structurele oplossing voor het verhuizen van DNSSEC-beveiligde domeinen beschikbaar gekomen. Door de EPP-interface van SIDN uit te breiden met het 'key relay' commando kan de verhuizing van een domein worden uitgevoerd zonder dat daarbij de beveiliging wordt onderbroken. Bovendien kan de hele transitie volledig geautomatiseerd plaatsvinden. Registrars en software-leveranciers kunnen deze nieuwe faciliteit direct in hun dashboards en interfaces opnemen en aan hun gebruikers beschikbaar stellen. Daarmee is een belangrijk obstakel voor verdere adoptie van DNSSEC uit de weg geruimd.

Gepubliceerd op 01-10-2013

SIDN drie keer genomineerd voor een CENTR Award

SIDN is maar liefst drie keer genomineerd voor de CENTR Awards. Deze worden dit jaar voor het eerst toegekend aan registries die een opvallend project of een bijzondere prestatie neergezet hebben. Dat twee van de drie SIDN-nominaties DNSSEC-gerelateerde projecten betreffen, benadrukt nog eens dat we in Nederland absolute koploper zijn op dit gebied.

Gepubliceerd op 23-09-2013

DNSSEC nu volledig in productie bij SURFnet

Na een pilot van een jaar is DNSSEC sinds vorige maand voor elke gebruiker van SURFdomeinen beschikbaar. Dat betekent dat SURFnet-klanten die gebruik maken van de 'managed DNS'-dienst voor hun domein alleen het DNSSEC-vinkje hoeven te activeren. Klanten die zelf als DNS-operator fungeren voor hun eigen domeinen kunnen hun sleutelmateriaal uploaden via de SURFdomeinen-portal — vergelijkbaar met het dashboard van een internet service provider.

Gepubliceerd op 06-09-2013

Gemeenten implementeren DNSSEC-validatie

Hoewel hier in Nederland inmiddels meer dan een kwart van de domeinnamen met DNSSEC ondertekend is, komt de validatie van die digitale handtekeningen nu pas langzaam op gang. Op dit moment implementeren de eerste gemeenten validatie op hun caching DNS-servers. In dit artikel beschrijven we de situatie in Heerlen en Den Bosch, waar men respectievelijk net wel en nog net niet met deze nieuwe beveiligingsstandaard in de weer is.

Gepubliceerd op 21-08-2013

SIDN belt achter DNSSEC-fouten aan

SIDN deed al eerder een oproep aan registrars om hun DNSSEC-registraties en -configuratie in orde te maken. Validatiefouten leveren immers een acuut probleem op voor een webbrowser of een mail gateway, en dus voor de eindgebruiker. Extra wrang daarbij is dat met name klanten getroffen worden van goedwillende internet access providers die validatie op hun caching DNS-servers aan hebben gezet. Ondanks dat Nederland op dit moment wereldwijd absolute koploper is wat betreft de invoering van DNSSEC, lopen we het risico dat validatie moeilijk op gang komt als het aantal fouten te groot wordt. Vandaar dat SIDN inmiddels registrars nabelt als daar configuratiefouten worden gedetecteerd.

Gepubliceerd op 30-07-2013

Gebrek aan kennis is belangrijkste belemmering voor implementatie DNSSEC

Veruit de belangrijkste belemmering voor de implementatie van DNSSEC is een gebrek aan kennis bij de registrars. Zo blijkt uit een zojuist afgerond onderzoek van SIDN, de beheerder van het .nl top-level domein. Andere belemmeringen zijn achtereenvolgens een gebrek aan vraag bij eindgebruikers, een goede ondersteuning in de software en de user-interfaces, sleutelbeheer, investerings- en operationele kosten, de verhuisproblematiek en te weinig kennis bij eindgebruikers.

Gepubliceerd op 07-07-2013

Aantal DNSSEC-ondertekende .nl-domeinen breekt door 1,5 miljoen

Vorige week is het aantal .nl-domeinen dat met DNSSEC is beveiligd door de 1,5 miljoen gebroken. Daarmee is inmiddels bijna dertig procent van in totaal 5,3 miljoen domeinen ondertekend. Nederland is en blijft wereldwijde koploper op DNSSEC-gebied.

Als beheerder van het .nl-domein is SIDN verantwoordelijk voor de stabiliteit en de verdere ontwikkeling van dit top-level domein. De registry verwerkt dagelijks meer dan een miljard zoekopdrachten voor meer dan vijf miljoen domeinnamen. Deze mijlpaal bevestigt de wereldwijde koppositie op DNSSEC-gebied, aldus marketing manager Michiel Henneke. Wij hebben veruit het grootste aantal ondertekende domeinen. Bovendien groeien we nog steeds door.

Gepubliceerd op 21-06-2013

Workshops DNSSEC bij SURFnet

Op 17 juni 2013 organiseert SURFnet weer een workshop DNSSEC. Deze is gericht op beginners en behandelt de basisprincipes van deze cryptografische beveiliging voor DNS. De twee daaropvolgende dagen vindt er een (vervolg-)workshop plaats waarin deelnemers concreet met DNSSEC aan de slag moeten.

Doelgroep voor deze trainingen zijn mensen die binnen hun organisatie verantwoordelijk zijn voor de DNS-infrastructuur. Basiskennis van DNS, BIND, Unbound of Windows server 2008 DNS is vereist. Na de eerste workshop moet men in staat zijn validatie te aan te zetten op zijn eigen resolving DNS-servers. Na de verdiepende workshop kan men ook de ondertekening van zijn eigen domeinen implementeren.

Gepubliceerd op 13-06-2013

DNSSEC als fundament onder andere beveiligingsprotocollen

DNSSEC is geen op zichzelf staande beveiligingsstandaard. Het fungeert ook als fundament onder nieuwe protocollen die bijvoorbeeld de veiligheid van server-certificaten voor web en mail versterken. Daarnaast worden allerlei bestaande beveiligingsprotocollen met de toepassing van DNSSEC automatisch van een cryptografische basis voorzien.

Gepubliceerd op 01-05-2013

"Registrars moeten hun DNSSEC-configuraties in orde maken"

Validatiefouten bemoeilijken verdere invoering

Onlangs vroeg SIDN zijn registrars om extra aandacht voor DNSSEC-configuratiefouten. Nu steeds meer ISP's op hun caching DNS-servers ook valideren, is het van groot belang dat de DNSSEC-instellingen van een domein in orde zijn. Een domeinnaam die ten onrechte niet goed valideert, levert immers voor een web browser of een mail gateway, en dus voor de eindgebruiker een acuut probleem op.

Gepubliceerd op 15-04-2013

Snel op de hoogte van DNSSEC:

Interessante Case Studies

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

De recentelijke ondersteuning van DNSSEC-algoritmen nummer 13 en 14 door SIDN kwam internet-dienstverlener MIDDAG heel goed uit. Begin dit jaar heeft het bedrijf het beheer van al zijn domeinnamen ondergebracht bij CDN-aanbieder CloudFlare. Omdat CloudFlare zijn sleutelmateriaal alleen beschikbaar stelt op basis van algoritme nummer 13 en SIDN dit protocol nog niet ondersteunde, was daarmee de weg naar DNSSEC geblokkeerd. Nu dat probleem is opgelost heeft MIDDAG gelijk alle 160 .nl-domeinen van DNSSEC voorzien.

Rond de jaarwisseling zijn we voor het beheer van al onze domeinen overgestapt naar CloudFlare, vertelt Vic D'Elfant, software architect en eigenaar van MIDDAG. We hebben toen contact opgenomen met SIDN en gevraagd of zij algoritme nummer 13 konden ondersteunen. Toen we van hen hoorden dat deze mogelijkheid in de volgende release van DRS zou zitten, hebben we dat even afgewacht.

Waarmerk goedgekeurde open standaard