Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Nieuws

Volg hier ons laatste nieuws.

DNS amplificatie-aanvallen straks niet meer te stoppen zonder BCP 38

Twee weken geleden publiceerden de Universiteit van Amsterdam en NLnet Labs een gezamelijk rapport over de effectiviteit van maatregelen tegen DNS amplificatie-aanvallen. Javy de Koning en Thijs Rozekrans simuleerden bij NLnet Labs een ANY-gebaseerde aanval en onderzochten hoe Response Rate Limiting (RRL) het beste ingezet kan worden om een dergelijke aanval te pareren. Daarnaast keken zij naar de effectiviteit van RRL bij geavanceerdere aanvallen en bespreken ze DNS dampening als alternatief verdedigingsmechanisme.

Gepubliceerd op 14-03-2013

DANE maakt het PKI-systeem weer veilig en betaalbaar

Deze zomer is de specificatie voor DANE als officiële RFC gepubliceerd. DANE, kort voor DNS-based Authentication of Named Entities, bouwt voort op DNSSEC. Daarmee kunnen nu ook sleutels en certificaten voor beveiligde websites in het DNS-systeem worden opgenomen.

Gepubliceerd op 23-02-2013

Google Public DNS servers doen nu ook DNSSEC-validatie

De publieke DNS-servers van Google leveren vanaf vorige week ook validatie-informatie als gebruikers om DNSSEC vragen. Daarmee wordt DNSSEC steeds minder vrijblijvend en worden fouten in de configuratie harder afgestraft. Operators en registrars moeten aan de bak.

Begin vorige week heeft Google de validatie van DNSSEC op zijn publieke DNS-servers aangezet. Dat betekent dat domeinen die zijn ondertekend vanaf nu ook daadwerkelijk goed validerende records moeten leveren. Validerende resolvers als Unbound blokkeerden slecht geconfigureerde domeinnamen al, maar deze worden nog maar weinig gebruikt. De meeste clients bevatten immers alleen een stub resolver die afhankelijk is van de DNS-dienst zoals die bijvoorbeeld door internet-provider of IT-afdeling wordt verzorgd.

Gepubliceerd op 04-02-2013

Tweeluik DNSSEC en BIND

Beheerders die zelf hun DNS-servers onderhouden zullen daarvoor meestal gebruik maken van BIND named. Ondanks dat er de afgelopen jaren enorm veel op internet is gepubliceerd over de configuratie van DNSSEC voor deze DNS-server, blijken de meeste van die pagina's inmiddels verouderd te zijn. Omdat Google vooral achterhaalde informatie opleverde en het al met al toch behoorlijk wat tijd kostte om alle instellingen bij elkaar te scharrelen, zetten we in twee hands-on artikelen de hele configuratie nog eens op een rijtje.

In het eerste artikel gaan we uitgebreid in op de configuratie van DNSSEC voor BIND named. In het tweede verhaal bouwen we hier op voort met sleutelbeheer, automatische ondertekening en andere beheersaspecten.

Gepubliceerd op 22-01-2013

Weer valse HTTPS-certificaten in omloop

Vorige maand werden door Google opnieuw valse HTTPS-certificaten ontdekt. Hoewel dit incident in omvang en impact veel beperkter is dan het DigiNotar-debacle, toont het nog eens aan dat het huidige PKI-systeem belangrijke veiligheidsproblemen bevat en op termijn niet houdbaar is. DANE, een protocol dat voortbouwt op DNSSEC, biedt een alternatief dat niet alleen veiliger maar ook goedkoper is.

Op kerstavond ontdekte en blokkeerde de Chrome browser van Google een ongeautoriseerd wildcard certificaat voor het *.google.com domein. Dat wil zeggen dat een web site zich naar de client identificeerde met een vals digitaal certificaat bij het opzetten van een beveiligde TLS-verbinding (HTTPS, het bekende sleuteltje in de web browser).

Gepubliceerd op 10-01-2013

.mil top-level domein laat zijn DNSSEC-handtekening verlopen

Eervorige week heeft het Amerikaanse Ministerie van Defensie de DNSSEC-handtekening voor het .mil-domein laten verlopen. Als gevolg daarvan waren de systemen onder dit top-level domein een dag lang niet meer bereikbaar voor clients die gebruikmaken van een validerende resolver. In een wereld waarin DNSSEC-validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden.

Gepubliceerd op 10-01-2013

DNSSEC-validatie komt langzaam op gang

Op dit moment is het .nl-domein wereldwijd absoluut de grootste als het gaat om de beveiliging met DNSSEC. Het valideren van de DNS records bij de providers moet echter nog goed op gang komen. Hier in Nederland maken onder andere SURFnet, T-Mobile en BIT gebruik van validerende resolvers op hun caching DNS-servers.

BIT is een van de Nederlandse providers die DNSSEC-beveiligde domeinen valideert. Het inschakelen van de validatie heeft ons vrijwel geen werk bezorgd. Wij vinden dat onze klanten er van uit moeten kunnen gaan dat onze DNS-servers deze extra veiligheid gebruiken als die beschikbaar is.

Gepubliceerd op 22-12-2012

Infosecurity.nl: DNSSEC en DKIM bij de overheid

Afgelopen zomer werd DNSSEC door het Forum en College Standaardisatie samen met een paar andere standaarden aan de 'pas toe of leg uit'-lijst toegevoegd. Daarmee zijn overheidsorganisaties nu verplicht deze veiligheidsstandaard te gebruiken. Alleen als zij goede redenen hebben om dat niet te doen, mogen zij daar van afwijken.

In het oktobernummer van Infosecurity.nl geven Bart Knubben, adviseur bij Bureau Forum Standaardisatie, en Nico Westpalm van Hoorn, voorzitter van Forum Standaardisatie, tekst en uitleg. Standaardisatie van gegevensuitwisseling biedt veel economische voordelen. Het werkt echter pas als organisaties hun koppelvlakken op eenzelfde manier inrichten en dat gaat helaas niet vanzelf. College en Forum faciliteren dit proces binnen de overheid.

Lees hier het volledige verhaal (in PDF).

Gepubliceerd op 03-12-2012

Twee presentaties DNSSEC op SIDN relatiedag

Hoe DNSSEC-beveiligde domeinen verhuisd kunnen worden is bekend. Maar over de juiste methode is nog veel discussie. Met name de afstemming tussen de latende en verkrijgende registrar, en de uitwisseling van DNS-informatie zijn nog onderwerp van discussie.

Zo organiseerde hosting provider Oxilion onlangs op haar kantoor een Lunch & Learn bijeenkomst. Daarbij sprak een aantal DNS-specialisten, zowel intern als extern, over de verhuizing van DNSSEC-beveiligde domeinen.

Gepubliceerd op 28-11-2012

Het voordeel van een dubbel DNSSEC-sleutelpaar

Voor het ondertekenen van de DNS records is in principe één cryptografisch sleutelpaar voldoende. Maar in de praktijk wordt meestal met twee van deze sleutelparen gewerkt. In deze getrapte configuratie hoeft men bij vervanging van het ZSK-paar nooit het sleutelmateriaal opnieuw te uploaden.

Gepubliceerd op 28-11-2012

DNSSEC levert bijdrage aan betrouwbaarheid van overheden en bedrijven

Technische veiligheid is cruciaal voor domeinen waar webwinkels, banken en multinationals hun internet-portals draaien. DNSSEC zou daar een vanzelfsprekend onderdeel van moeten zijn. Maar ook de betrouwbaarheid van een merk kan een belangrijke reden zijn om deze beveiliging te implementeren. Dat geldt bijvoorbeeld voor de overheid en de kranten.

Gepubliceerd op 26-11-2012

"Internet heeft een onderhoudsbeurt nodig"

De nu gebruikte internetstandaarden zijn ontworpen in de jaren '70 en voldoen niet meer. Ze kunnen de aantallen gebruikers niet meer aan en hun veiligheidsniveau is onvoldoende gelet op de waarde die online transacties vertegenwoordigen.

Dat schrijft Bart Knubben in zijn blog 'Nederlandse overheid betrokken bij onderhoud internetstandaarden'. Hij is werkzaam voor Bureau Forum Standaardisatie. Dat ondersteunt het College en Forum Standaardisatie en is ondergebracht bij Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Gepubliceerd op 20-11-2012

DNSSEC-validatie zal in de toekomst door de web-browser worden uitgevoerd

Op dit moment zijn clients voor de validatie van DNSSEC bijna volledig afhankelijk van de caching DNS-servers. De meeste besturingssystemen zijn immers alleen voorzien van een stub resolver, die zelf geen validatie uitvoert. In de toekomst zal die controle veelal in de web-browser plaatsvinden. Bijkomend voordeel is dat de browser dan precies kan aangeven wat er eventueel misgaat.

Gepubliceerd op 09-11-2012

DANE maakt PKI-systeem weer veilig en betaalbaar

Deze zomer is de specificatie voor DANE als officiele RFC gepubliceerd. DANE, kort voor DNS-based Authentication of Named Entities, is een uitbreiding van DNSSEC. Daarmee kunnen ook sleutels en certificaten voor beveiligde websites in het DNS-systeem worden opgenomen.
Lees de volledige case story.

Gepubliceerd op 06-11-2012

Toelichting op de storing van 28 oktober

In de loop van zondag 28 oktober ontstond een foutsituatie bij het publiceren van een nieuwe ZSK (Zone Signing Key). Daardoor konden DNSSEC-beveiligde .nl-domeinen niet goed gevalideerd worden. De problemen duurden maximaal twee uur. Inmiddels heeft SIDN maatregelen genomen om de gevolgen van de fout in de toekomst te voorkomen. De onderliggende oorzaak is nog in onderzoek.

Gepubliceerd op 02-11-2012

Gecentraliseerde DNSSEC-validatie op gesloten netwerken

De AD-vlag wordt door caching DNS-servers gebruikt om aan te geven dat zij de DNSSEC records hebben gevalideerd. Een client hoeft deze controle dan niet meer zelf uit te voeren.

Deze setup is natuurlijk alleen veilig op een netwerk waar de beveiliging van 'the last mile' gegarandeerd is. Denk dan aan bedrijfsnetwerken, campusnetwerken, en gesloten netwerken van internet-providers en mobiele operators. Daar kan DNSSEC-validatie samen met DNS-caching gecentraliseerd worden op de recursing DNS-servers.

Gepubliceerd op 31-10-2012

Van signeren naar valideren

De uitrol van DNSSEC aan de zijde van de registrars overtreft alle verwachtingen. Slechts een paar maanden na de introductie is inmiddels meer dan twintig procent van alle .nl-domeinnamen ondertekend. De validering moet echter nog uit de startblokken komen. Een enkele uitzondering daargelaten, wordt DNSSEC in Nederland nog door geen enkele algemene internet provider gecontroleerd.

Gepubliceerd op 17-10-2012

DNSSEC-plugins voor web-browsers

In de afgelopen jaren is er veel nieuwe tooling voor DNSSEC ontwikkeld. Inmiddels zijn er ook voor de belangrijkste browsers (Firefox, Chrome) plugins beschikbaar, waarmee gebruikers kunnen controleren of een site die zij bezoeken gesigned is en correct valideert.

Gepubliceerd op 17-10-2012

Snelheid uitrol DNSSEC overtreft alle verwachtingen

Aantal beveiligde .nl-domeinen doorbreekt één miljoen

Op vrijdag 7 september is het aantal beveiligde .nl-domeinen door de één miljoen gebroken. Daarmee overtreft de snelheid van de uitrol van DNSSEC alle verwachtingen. Hiermee heeft Nederland een enorme voorsprong genomen en onderscheidt het .nl-domein zich wereldwijd van alle andere top level domeinen.

Gepubliceerd op 10-09-2012

Webinar DNSSEC voor overheidsdomeinnamen

Op 6 september a.s. organiseert SIDN, de organisatie achter het .nl-domein, van 15:00 tot 16:00 uur, in samenwerking met Forum Standaardisatie een webinar over DNSSEC voor overheden. De doelgroep zijn IT-, internet-, en security-experts in de overheidssector. Aanleiding voor het webinar is de plaatsing van DNSSEC op de 'pas toe of leg uit'-lijst door het College Standaardisatie.

Gepubliceerd op 17-08-2012

Snel op de hoogte van DNSSEC:

Interessante Case Studies

Betrouwbaarheid overheidsinformatie van cruciaal belang

Betrouwbaarheid overheidsinformatie van cruciaal belang

Deze zomer is DNSSEC toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee zijn overheidsorganisaties nu verplicht deze veiligheidsstandaard te gebruiken. Alleen als zij goede redenen hebben om dat niet te doen, mogen zij daar van afwijken. DNSSEC vormt een belangrijk fundament onder een veilige elektronische overheid. Vandaar dat het College Standaardisatie deze standaard zo snel na de introductie in Nederland op de 'pas toe of leg uit'-lijst heeft opgenomen. Overheidsorganisaties zijn nu verplicht hun domeinen te ondertekenen en de validatie van ondertekende domeinen op hun systemen te implementeren.

Waarmerk goedgekeurde open standaard