Nieuws
Volg hier ons laatste nieuws.
Hands-on: DNSSEC-ondertekening op BIND named
Beheerders die zelf hun DNS-dienst onderhouden maken daarvoor meestal gebruik van BIND named, de meest gebruikte DNS-server buiten de wereld van de grote registrars. BIND named kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel behandelen we de ondertekening van een zone op een autoritatieve name-server. De configuratie van named als DNSSEC-validerende resolver lees je in een ander artikel.
De DNSSEC-functionaliteit van BIND is over de afgelopen jaren stapsgewijs ontwikkeld en inmiddels een volwassen onderdeel van deze DNS-server geworden. Dat betekent wel dat er aanzienlijke verschillen zijn tussen achtereenvolgende (minor) versies.
Waar mogelijk en relevant geven we in dit artikel steeds aan vanaf welke versie een bepaalde feature ondersteund wordt. Dat is met name van belang voor gebruikers van enterprise-platforms, omdat die uit stabiliteits- en veiligheidsoverwegingen in het algemeen niet de meest recente software-versies gebruiken. Daarnaast kan het heel goed zijn dat de BIND-software op een bestaande server inmiddels opgewaardeerd is via het package management systeem van het operating system, maar de gebruikte configuratie nog is gebaseerd op een oudere versie.
Gepubliceerd op 08-03-2018
SIDN sluit pilot DNSSEC-validerende DNS service succesvol af
Nederlandse access providers moeten dringend gaan valideren
De afgelopen twee jaar draaide SIDN een pilot met een DNSSEC-validerende DNS-dienst. Het primaire doel was om zelf informatie te verzamelen over problemen veroorzaakt door validatiefouten. Vijf jaar geleden vormde het aantal DNSSEC-configuratiefouten in de .nl zone een serieus probleem voor validerende resolvers, waarna SIDN diverse maatregelen heeft genomen om deze fouten terug te dringen. Desondanks bleven access providers dit probleem als argument gebruiken om validatie op hun resolvers niet in te hoeven schakelen.
Het tweede doel was om te onderzoeken of SIDN een dergelijke dienst misschien voor een breed publiek beschikbaar zou moeten maken. Met een validerende DNS service zou enerzijds het gat dat de access providers laten liggen worden gevuld. Anderzijds zou daarmee een niet-commerciële tegenhanger van Google's Public DNS beschikbaar komen. Belangrijke meerwaarde daarbij is dat de privacy van de gebruikers dan wél volledig wordt gewaarborgd.
Gepubliceerd op 27-02-2018
Getdns software library genomineerd voor ISOC.nl Innovatie Award
De DNS library getdns genomineerd voor de ISOC.nl Innovatie Award 2018, maar heeft deze prijs uiteindelijk toch niet gewonnen. Afgelopen januari werd de Award toegekend aan Let's Connect (eduVPN), open source software om een VPN-infrastructuur op te zetten.
Getdns
Getdns is een asynchrone DNS-resolver (library) die de applicatieprogrammeur alle zorgen en complexiteit rondom domain name resolving uit handen neemt. Naast DNSSEC (validatie) worden bijvoorbeeld ook DNSSEC Roadblock Avoidance (RFC 8027) en DNS over TLS (RFC 7858; DNS Privacy) ondersteund. De code zelf is geschreven in de programmeertaal C, maar er zijn ook bindings (wrappers) voor Python (pygetdns) en nodejs beschikbaar. Voor bestaande software kan de getdns stub resolver Stubby als externe systeemcomponent ingezet worden.
Gepubliceerd op 12-02-2018
PowerDNS Recursor versie 4.1 gepubliceerd, upgrade aangeraden
Net voor de jaarwisseling is versie 4.1 van de PowerDNS Recursor uitgebracht. Dat is ruim een jaar na de publicatie van versie 4.0, de eerste Recursor die ook DNSSEC-validatie deed.
In die tussentijd hebben de ontwikkelaars — samen met grote gebruikers — gewerkt aan de performance en inzetbaarheid van de software. De nieuwe versie is sneller (zowel in doorvoer als in responsetijd), robuuster en schaalbaarder. Daarmee is PowerDNS Recursor volgens de makers klaar voor het zware werk in grote productie-omgevingen.
Gepubliceerd op 12-02-2018
DANE als standaard voor aanbestedingen erkend door de EC
De Europese Commissie heeft DANE voor zowel mail als web erkend als officiële standaard voor gebruik in aanbestedingen. Specifiek wordt aan dergelijke standaarden de eis gesteld dat zij open, transparant, onpartijdig en op basis van consensus ontwikkeld worden — dat alles ten behoeve van de technische interoperabiliteit tussen overheidsorganisaties in de EU.
Gepubliceerd op 12-02-2018
DNSSEC-adoptie bij overheden stagneert, ondanks verplichtingen en beloften
De groei in de toepassing van DNSSEC op Nederlandse overheidssites is snel afgenomen, zo blijkt uit de laatste 'meting Informatieveiligheidsstandaarden' van Forum Standaardisatie. In een jaar tijd is de adoptie gegroeid van 44 naar 66 procent (in juli 2017). Halverwege die periode stond de teller echter al op 61 procent. Daarmee doet DNSSEC het van alle zes gemeten standaarden nu het slechtst.
Gepubliceerd op 28-11-2017
Nieuwe DANE SMTP checker voor mail
Met de onlangs gepubliceerde DANE SMTP checker kan de hele vertrouwensketen van DANE voor mail worden gevalideerd. De tool voert daartoe de volgende stappen uit:
- controleer of DNSSEC-validatie op de gebruikte resolver aan staat
- controleer of het te testen mail-domein met DNSSEC is ondertekend
- controleer of alle MX gateways van een TLSA record zijn voorzien, en dat deze records overeenkomen met de TLS-certificaten op de betreffende servers
- controleer de geldigheid van de certificaat-keten voor een specifiek tijdstip in de toekomst.
De DANE SMTP checker is ontwikkeld door Viktor Dukhovni en als open source op GitHub gepubliceerd onder een eigen licentie. De tool is een alternatief/aanvulling op de e-mail test op Internet.nl en de meer generieke GnuTLS DANE tool.
Gepubliceerd op 28-11-2017
Hands-on: DNSSEC-validatie op BIND named
BIND named, de meest gebruikte DNS-server, kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel bespreken we de configuratie van named als DNSSEC-validerende resolver. De ondertekening van een zone op een autoritatieve name-server wordt in een ander artikel behandeld.
Juist omdat er al zo veel bestaande BIND-implementaties zijn — sommige draaien al jarenlang — hebben we bij alle features zo veel mogelijk de versienummers gegeven waarbij de betreffende optie in de software beschikbaar is gemaakt. Desondanks raden we aan om een zo'n recent mogelijke versie van BIND te gebruiken, al was het alleen maar omdat in de tussentijd natuurlijk ook bugs en security-problemen uit de software zijn gehaald.
Gepubliceerd op 06-10-2017
Root KSK roll-over uitgesteld
Beheerders van validerende resolvers dringend aangeraden om hun trust anchors op te waarderen
Gisteren heeft ICANN bekend gemaakt het moment waarop de daadwerkelijke root KSK roll-over plaats zou vinden — 11 oktober aanstaande — tot nader order uit te stellen. De reden is dat naar verwachting een aanzienlijk aantal Internet-gebruikers die dag in de problemen zou zijn gekomen. Na de roll-over zijn namelijk alle Internet-domeinen onbereikbaar voor gebruikers van resolvers die nog niet van het nieuwe KSK-2017 trust anchor zijn voorzien.
Gepubliceerd op 29-09-2017
Vernieuwde Internet.nl-portal groeit sterk in gebruik
De Internet.nl-portal is deze zomer vernieuwd. Belangrijkste verbeteringen zitten in de gebruikersinterface en het grafisch ontwerp. Er wordt nu gebruik gemaakt van een responsive design, waarmee de portal beter toegankelijk is geworden voor mobiele gebruikers. Daarnaast is de vernieuwde site overzichtelijker en duidelijker in het gebruik.
De Internet.nl-portal biedt bezoekers de mogelijkheid hun verbindingen en domeinen te testen op de toepassing van een zestal moderne internet-standaarden: IPv6, DNSSEC, HTTPS, DMARC, STARTTLS en DANE. De uitkomsten resulteren in een score, waarmee gebruikers ook een kwantitatieve indicatie krijgen van hun "compliance". Volgens Bart Knubben, project manager bij het Platform Internetstandaarden, laat meer dan de helft van de domeinen bij herhaald testen een hogere score zien. Dat suggereert dat de portal inderdaad gebruikt wordt om verbeteringen door te voeren.
Gepubliceerd op 27-09-2017
Hands-on: DNSSEC-ondertekening op Windows Server 2016
Jarrod Farncomb, een Australische systeembeheerder, heeft op zijn site een hands-on artikel gepubliceerd over de configuratie van DNSSEC op Windows Server 2016. Uitgangspunt is een Active Directory domain controller die al fungeert als autoritatieve DNS-server. Aan de hand van screenshots en bijbehorende uitleg loopt Farncomb door het hele proces van ondertekening heen.
Gepubliceerd op 27-09-2017
Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!
Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan wordt het de hoogste tijd om dat alsnog te doen. Vanaf 11 oktober zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die niet van het nieuwe trust anchor zijn voorzien.
In dit artikel laten we zien hoe je de beschikbaarheid van het nieuwe trust anchor kunt controleren.
Gepubliceerd op 18-09-2017
Automatische installatie nieuwe DNSSEC trust anchor
De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.
Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.
In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.
In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.
Lees hier het volledige artikel
Gepubliceerd op 24-07-2017
Ook Belgische banken scoren heel slecht op DNSSEC-beveiliging
Slechts één procent van de Belgische banken heeft zijn domeinnaam met DNSSEC ondertekend. Zo blijkt uit een analyse van Domeinnaam.tips. De redactie vindt deze bevindingen zorgwekkend. Banken zouden de eerste gebruikers van DNSSEC moeten zijn. De sector is één van de vaakst gekozen doelwitten van internetcriminelen en heeft het meest last van phishing en spoofing.
Gepubliceerd op 18-07-2017
Update: nieuwe DNSSEC-functionaliteit voor sleutelbeheer
Unbound 1.6.4 doet 'key tag signaling'
Met de release van versie 1.6.4 ondersteunt Unbound nu ook 'key tag signaling' RFC 8145). Daarmee laten validerende resolvers aan een server weten welke sleutels zij als trust anchor gebruiken bij het opbouwen van de chain of trust. Op die manier krijgen beheerders van ondertekende domeinen informatie van client-zijde over de voortgang van een key roll-over.
Gepubliceerd op 18-07-2017
Installatie trust anchor voor nieuwe root KSK
Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS-root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).
Het eerste gedeelte van dit artikel behandelt de verschillende manieren waarop beheerders van validerende resolvers het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen kunnen installeren. Het tweede gedeelte richt zich specifiek op de handmatige update van het trust anchor en de automatische installatie via de update-functie van het operating system. De automatische installatie via DNSSEC zelf (op basis van RFC 5011) wordt in een follow-up artikel behandeld, tesamen met een overzicht van de meest gebruikte resolver software-pakketten en hun ondersteuning van deze feature.
Lees hier het volledige artikel
Gepubliceerd op 12-07-2017
De root KSK roll-over — veel gestelde vragen
Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur vervangt door een nieuw sleutelpaar.
Beheerders van validerende resolvers moeten het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen installeren. Is dat uiterlijk op 11 oktober 2017 niet gebeurd, dan kunnen vanaf die dag de digitale handtekeningen onder de DNS-records niet meer gevalideerd worden. Daarmee zijn dan alle Internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar geworden.
Op deze pagina beantwoorden we de meest gestelde vragen over de root KSK roll-over.
Gepubliceerd op 27-06-2017
DANE update: ondersteuning neemt snel toe
DANE, een op DNSSEC gebaseerde standaard voor de beveiliging van web- en mail-verbindingen, is sterk in opkomst. Hieronder behandelen we het belangrijkste nieuws: NCSC adviseert het inschakelen van STARTTLS en DANE, en de ondersteuning van DANE groeit snel.
NCSC adviseert inschakelen STARTTLS en DANE
Het Nationaal Cyber Security centrum (NCSC) adviseert om STARTTLS en DANE in te schakelen, en op die manier het transport van mailberichten te beveiligen. Daartoe heeft deze organisatie de Factsheet 'Beveilig verbindingen van mailservers' gepubliceerd.
Gepubliceerd op 08-05-2017
SIDN DNSSEC update: refresh .nl zone, Valibox 1.2.0, samenwerking NLnet Labs
De afgelopen weken heeft SIDN drie aankondigingen gedaan die ook voor DNSSEC relevant zijn:
- .nl zone file elk half uur ververst
- Nieuwe versie ValiBox biedt ook persoonlijke firewal
- SIDN verlengt samenwerking en sponsoring NLnet Labs
Gepubliceerd op 01-05-2017
Update DNSSEC crypto-algoritmen: RFC 8080, ECDSA, OpenDNSSEC 2.1.0
Met de publicatie van RFC 8080 afgelopen maand is een nieuw cryptografisch protocol aan DNSSEC toegevoegd. Algoritmen nummer 15 (ED25519) en 16 (ED448) specificeren het gebruik van EdDSA (Edwards-curve Digital Security Algorithm), een snel ECC public key protocol.
Daarmee zijn nu twee nieuwe alternatieven voor de langzame RSA-gebaseerde algoritmen beschikbaar naast ECDSA (algoritmen 13 en 14) dat sinds een jaar ook door SIDN ondersteund wordt. Ondersteuning voor de nieuwe EdDSA-algoritmen is waarschijnlijk binnen een paar maanden voor elkaar.
Hoewel ECDSA inmiddels steeds meer wordt gebruikt in het .com-domein, zijn we in Nederland nog niet zo ver.
OpenDNSSEC (SoftHSM) ondersteunt ECDSA vanaf versie 2.1.0 die vorige week werd gepubliceerd.
Gepubliceerd op 09-03-2017
DNSSEC-inventarisatie 2017: banken en internet-sector lopen ernstig achter
Banken, internet-dienstverleners en de ondernemingen verantwoordelijk voor de datatransport-backbone lopen ernstig achter met de implementatie van DNSSSEC. Uit een inventarisatie van SIDN blijkt dat slechts een heel beperkt gedeelte van de bedrijven in deze sectoren zijn domeinnaam heeft ondertekend.
Banken
Ondanks dat de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn, scoren zij het slechtst van allemaal. Net als twee-en-half jaar geleden heeft slechts een enkeling (6%) zijn domeinnaam ondertekend. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC in combinatie met DKIM bescherming tegen kan bieden.
Daarnaast verhouden deze bevindingen zich slecht tot de verplichting die de banken zichzelf hebben opgelegd met de deelneming van Betaalvereniging Nederland in de onlangs opgerichte 'Veilige E-mail Coalitie'. Daarbij verklaren deelnemers dat zij in hun eigen organisatie en bij hun achterban zullen werken aan de invoering van onder andere DNSSEC.
Gepubliceerd op 06-03-2017
Overheid en bedrijfsleven richten 'Veilige E-mail Coalitie' op
Overheid en bedrijfsleven gaan gezamenlijk misbruik zoals phishing en het afluisteren van e-mail aanpakken. Daartoe hebben zij vorige maand op initiatief van het Ministerie van Economische Zaken en Forum Standaardisatie de 'Veilige E-mail Coalitie' opgericht.
Deelnemers in de coalitie zijn: PostNL, KPN, Betaalvereniging Nederland, DDMA, Thuiswinkel.org, VNO-NCW, MKB-Nederland, Stichting Zeker-OnLine, Dutch Datacenter Association, Stichting DINL, XS4ALL, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Rijks-CIO), Fraudehelpdesk, Nederland ICT en de Belastingdienst. Deze partijen hebben zich verplicht om in hun eigen organisatie en bij hun achterban te werken aan de implementatie van moderne en veilige internetstandaarden: DMARC, DKIM en SPF tegen phishing, en DNSSEC, DANE en STARTTLS tegen afluisteren.
Gepubliceerd op 06-03-2017
Lengte van ZSK-sleutelpaar root zone op 2048 bits
Afgelopen najaar is de lengte van het ZSK-sleutelpaar voor de root zone van 1024 naar 2048 bits gebracht. Dat is gebeurd als onderdeel van de normale, geplande driemaandelijkse rollover. Daarmee heeft het ZSK-sleutelpaar nu dezelfde sterkte als het KSK-sleutelpaar.
Gepubliceerd op 06-03-2017
EPP Key Relay Mapping gestandaardiseerd als RFC 8063
Vorige maand is RFC 8063 'Key Relay Mapping for the Extensible Provisioning Protocol' gepubliceerd als officiële internet-standaard. Deze is ontwikkeld door SIDN Labs en beschrijft een uitbreiding van het EPP-protocol waarmee registrars via de registry (zoals SIDN) direct DNSSEC-sleutelmateriaal kunnen uitwisselen.
Deze uitbreiding was nodig om DNSSEC-ondertekende domeinnamen te kunnen verhuizen zonder daarvoor de beveiliging te hoeven onderbreken. De ontwikkeling van deze standaard heeft vier jaar geduurd en maakt DNSSEC technisch compleet.
Gepubliceerd op 06-03-2017
Tips en trucs voor DANE TLSA
door Wido Potters, BIT
Eind 2016 hebben we bij BIT het DNS-based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol — kortweg TLSA — geconfigureerd voor een aantal hosts. In dit artikel geven we een paar tips voor de implementatie ervan.
Probleem
TLSA is een protocol voor het veilig publiceren van publieke sleutels en certificaten dat voortbouwt op DNSSEC. DNSSEC voegt cryptografische verificatie toe aan het DNS en maakt het daarmee een betrouwbare bron voor certificaateigenschappen. Met DNSSEC is het Domain Name System veilig gemaakt en worden valse antwoorden op vragen aan het DNS voorkomen.
Certificaten worden onder andere gebruikt voor websites die HTTPS (TLS) ingeschakeld hebben. Die certificaten worden verstrekt door certificaatautoriteiten die met veel of weinig moeite controleren of jij wel daadwerkelijk de eigenaar/beheerder bent van de domeinnaam waar je een certificaat voor aanvraagt. Er zijn echter meer dan 100 certificaatautoriteiten die door browsers worden vertrouwd. Een probleem bij een van die autoriteiten kan tot gevolg hebben dat er valse certificaten worden uitgegeven voor grote en kleine sites. Onder andere Comodo en Diginotar hebben in het verleden valse certificaten uitgebracht. TLSA voorkomt niet de uitgifte van valse certificaten maar beperkt wel het gebruik ervan.
Gepubliceerd op 24-01-2017
Roll-over voor root zone vraagt om attentie van DNSSEC-beheerders
Afgelopen najaar heeft ICANN de roll-over van het (KSK) sleutelpaar voor de root zone in gang gezet. Dat betekent dat het cryptografische sleutelpaar dat aan de basis ligt van de hele DNSSEC-infrastructuur wordt ververst (dat wil zeggen vervangen).
Er kleven belangrijke risico's aan deze update. Hoewel de kans daarop klein is, kan een fout betekenen dat het hele internet (inclusief de niet-ondertekende domeinen) onbereikbaar wordt voor alle gebruikers/applicaties die gebruik maken van validerende resolvers.
Hetzelfde speelt op lokaal niveau. Beheerders van validerende resolvers zullen moeten zorgen dat eerst de nieuwe (publieke) sleutel aan de trust anchors op hun servers wordt toegevoegd, en later dat de oude sleutel van hun systemen wordt verwijderd. Laten zij dat na, dan kunnen de digitale handtekeningen onder de top-level domeinen (TLD's) in de root zone niet meer gevalideerd worden. In dat geval zouden alle internet-domeinen voor de gebruikers van de betreffende resolver onbereikbaar worden.
RFC 5011 maakt het mogelijk de nieuwe (publieke) sleutel automatisch als trust anchor te laten installeren. De ontwikkelaars van de meest gebruikte validerende resolvers — PowerDNS, BIND named, Unbound en OpenDNSSEC — geven aan dat hun software dit protocol ondersteunt. De sterk verouderde appliances van Infoblox ondersteunen RFC 5011 niet, waarmee ze hun klanten met een nieuw probleem opzadelen.
Lees hier het volledige artikel
Gepubliceerd op 19-01-2017
Ruim dozijn hands-on artikelen over DNSSEC gepubliceerd
De Duitse security-consultant Johannes Weber heeft de afgelopen maanden (in het Engels) meer dan een dozijn blog postings over DNSSEC geschreven. Naast een hele rits hands-on artikelen over de DNSSEC-configuratie van BIND named beschrijft hij ook de configuratie van DANE, de installatie van de Unbound resolver op de Raspberry Pi, de configuratie van SSHFP-records en het gebruik van een aantal DNSSEC-specifieke tools.
Gepubliceerd op 10-01-2017
Provider XS4ALL zet DNSSEC-validatie volledig aan
Internet-provider XS4ALL heeft vorige week de validatie van DNSSEC aangezet op al zijn caching resolvers. Daarmee zijn alle klanten die de standaard-instellingen gebruiken — en daarmee de DNS-dienst van XS4ALL — beschermd tegen vervalste DNS-records en omleiding van mail- en webverkeer door kwaadwillenden.
XS4ALL valideerde al langer, maar slechts op een van zijn resolvers, waarmee deze security feature tot nu toe alleen experimenteel ondersteund werd. Met deze volledige implementatie volgt XS4ALL in de voetsporen van providers als BIT en Edutel.
Gepubliceerd op 18-11-2016
Beveilig je thuis/kantoor-netwerk met de Valibox
SIDN heeft afgelopen maand de Valibox beschikbaar gemaakt. Dit software-image wordt geïnstalleerd op een generiek hardware-apparaatje, waarmee je in een keer je draadloze thuis/kantoor-netwerk van DNSSEC-validatie voorziet.
De Valibox-software is gebaseerd op OpenWRT en Unbound, en beschikbaar als open source. Er zijn op dit moment images beschikbaar voor drie verschillende devices, maar wie de software geschikt wil maken voor een ander apparaat waarop OpenWRT draait kan contact opnemen met Jelte Jansen.
Gepubliceerd op 20-10-2016
BIND named versie 9.11 brengt diverse verbeteringen voor DNSSEC
Eerder deze maand heeft ISC versie 9.11 van BIND named uitgebracht. Deze release bevat diverse belangrijke verbeteringen op gebied van DNSSEC ten opzichte van de vorige versies:
- beantwoording van queries in real-time op basis van data uit een LDAP back-end via een nieuwe DynDB-interface
- een nieuwe tool voor DNSSEC-sleutelbeheer: dnssec-keymgr. Dit commando bevat een wrapper op de bestaande commando's voor sleutelbeheer en wordt bij voorkeur regelmatig uitgevoerd via cron. Nieuwe sleutelparen worden dan automatisch aangemaakt, gepubliceerd en gerold, en dat alles op basis van een policy in een configuratiebestand.
- De rndc configuratie-tool biedt nu ondersteuning voor de dynamische toevoeging van Negative Trust Anchors (NTA's) zoals gedefinieerd in RFC 7646. Zo kunnen domeinnamen tijdelijk op een whitelist worden gezet in geval van "administratieve ongelukken".
- De optie 'trust-anchor-telemetry' laat named elke dag een speciaal query-bericht (RFC 8145) sturen naar de eigenaars van zones waarvoor een trust anchor is gedefinieerd. Die berichtjes kunnen gebruikt worden als trigger voor een roll-over of het verwijderen van oud sleutelmateriaal.
- De DNSSEC Lookaside Validation (DLV) service van ISC zal volgend jaar gestopt worden. Wie het gebruik van deze dienst heeft geconfigureerd krijgt nu automatisch een waarschuwing.
Gepubliceerd op 20-10-2016
STARTTLS en DANE verplicht voor overheidsorganisaties
Het Nationaal Beraad Digitale Overheid heeft afgelopen maand de beveiligingsstandaarden STARTTLS en DANE op de 'pas toe of leg uit'-lijst gezet. Dat betekent dat overheidsorganisaties vanaf nu verplicht zijn deze standaarden voor de beveiliging van mail-verkeer te implementeren zodra ze hun infrastructuur vernieuwen.
De twee standaarden bouwen voort op de DNSSEC-infrastructuur en voegen een extra cryptografische beveiliging toe aan het TLS-protocol, waarmee mail-servers hun berichten veilig kunnen afleveren.
Zoals te lezen in het 'Cybersecuritybeeld Nederland 2016' had het Nationaal Cyber Security Centrum (NCSC) al aangedrongen op de toevoeging van de STARTTLS/DANE-combinatie aan de ptolu-lijst.
Gepubliceerd op 06-10-2016
PowerDNS Recursor versie 4 ondersteunt DNSSEC-validatie
Met de lancering van versie 4 ondersteunt de PowerDNS Recursor nu ook DNSSEC-validatie. De nieuwe feature is nog experimenteel, maar volgens de ontwikkelaars al goed bruikbaar. Uitgangspunt is dat we opvragingen niet ten onrechte willen weigeren, want dan worden sites en services voor eindgebruikers geblokkeerd.
Validatie door de Recursor stond al veel langer op de agenda, maar heeft moeten wachten op de doorontwikkeling van DNSSEC op de authoritatieve server van PowerDNS. Ook de bescherming tegen DDoS/amplificatie-aanvallen had de afgelopen jaren hoge prioriteit en heeft onder andere geleid tot de ontwikkeling van de dnsdist load balancer.
Juist omdat Nederland wereldwijd voorop loopt met de ondertekening van de .nl-domeinnamen maar achterblijft op de validatie bij Internet Access Providers heeft SIDN de implementatie van validatie op de Recursor financieel ondersteund. Om diezelfde reden werkt de registry ook aan een eigen (validerende) DNS-service, vergelijkbaar met Google Public DNS en OpenDNS (inmiddels onderdeel van Cisco).
Gepubliceerd op 23-09-2016
Greenhost gebruikt KNOT voor ondertekening tienduizend domeinen
Deze zomer heeft hosting provider Greenhost DNSSEC op zijn name servers geïmplementeerd. In totaal heeft het bedrijf circa tienduizend domeinnamen onder zijn hoede, waarvan er zo'n zesduizend onder .nl vallen. Inmiddels zijn 9500 domeinnamen ondertekend, voor alle top-level domeinen waarvoor DNSSEC beschikbaar is. Greenhost is daarvoor van BIND named overgestapt naar de KNOT DNS-server.
Greenhost richt zich van origine op duurzaamheid,
vertelt CTO en eigenaar Mart van Santen. Niet veel later zijn daar digitale privacy en burgerrechten bij gekomen. Vandaar dat wij relatief veel stichtingen, activisten en journalisten als klant hebben. Denk aan Article 19 en Free Press Unlimited. In die context zijn we bewust bezig met de veiligheid en privacy van onze klanten. Zij vragen dan ook geregeld naar specifieke diensten als IPv6, DANE en Let's Encrypt. Wat dat betreft verwachten zij meer van ons dan bij de gemiddelde hoster. Zo werken wij nu aan de implementatie van Let's Encrypt voor alle domeinen. Deze dienst staat gepland voor lancering deze herfst.
Lees hier het volledige artikel
Gepubliceerd op 12-09-2016
Ondersteuning DANE in nieuwe versie OpenSSL
Met de release van versie 1.1 ondersteunt OpenSSL nu ook DANE. Dat betekent dat applicaties die gebruik maken van deze TLS/SSL software library voor het opzetten van hun versleutelde verbindingen de server-certificaten ook (of additioneel) via de DNSSEC-infrastructuur kunnen valideren.
Programmeurs die van deze nieuwe feature gebruik willen maken zullen zelf de betreffende TLSA-records op moeten laten halen (DNS) en valideren (DNSSEC). Vervolgens kunnen deze records bij het opbouwen van een nieuwe versleutelde verbinding worden gebruikt om de server-certificaten te valideren. Afhankelijk van de specifieke toepassing kunnen op dezelfde manier dus ook ingebouwde/lokale trust anchors worden gevalideerd.
Gepubliceerd op 05-09-2016
Ondersteuning van DKIM, SPF en DMARC in Exchange 2016
DKIM, SPF en DMARC — drie DNS(SEC)-gebaseerde protocollen ter bestrijding van phishing, spam, virussen en andere malware — worden inmiddels gedeeltelijk ondersteund door Exchange Server 2016. Alleen voor de ondertekening en validatie van DKIM is de installatie van aparte modules noodzakelijk.
Hoewel de online variant, Office 365, in principe dezelfde software gebruikt als de stand-alone van Exchange, is deze als onderdeel van Exchange Online gekoppeld aan de Exchange Online Protection (EOP) service, die wel volledige ondersteuning van DKIM bevat.
Gepubliceerd op 02-09-2016
DNSSEC-implementatie Infoblox sterk verouderd
Belangrijke aandachtspunten bij het aan zetten van DNSSEC
Twee jaar geleden bespraken we de configuratie van DNSSEC op de Trinzic DDI appliances van Infoblox. De belangrijkste conclusies waren dat het ondertekenen en valideren in de grafische interface erg eenvoudig aan te zetten waren — slechts een kwestie van aanklikken — maar dat de default-instellingen wel dringend verbetering nodig hadden.
Infoblox beloofde destijds bij monde van Chief Infrastructure Officer Cricket Liu om deze zaken in een volgende release aan te passen. Inmiddels zijn we echter twee jaar en een major release verder, en blijkt er helemaal niets te zijn aangepast of toegevoegd. Daarmee zitten Infoblox-klanten met een inmiddels sterk verouderd systeem.
Wie al een Infoblox-system heeft staan en DNSSEC aan wil zetten, zal bij de configuratie daarvan extra aandacht moeten besteden aan de cryptografische default-instellingen van zijn appliance.
Lees hier het volledige artikel
Gepubliceerd op 25-08-2016
OpenDNSSEC 2.0.1: verbeterde upgrade vanaf versie 1.4
Versie 2.0.1 van OpenDNSSEC is deze zomer verschenen. De DNSSEC-software zelf is niet veranderd, alleen de upgrade vanaf versie 1.4 is makkelijker geworden.
Tools
Bestaande gebruikers wordt aangeraden hun OpenDNSSEC-software eerst naar versie 1.4.10 op te waarderen. Vervolgens kunnen zij een van de conversie-scripts in de source directory '.../enforcer/utils/' gebruiken om hun SQLite/MySQL database om te zetten. Na de installatie van de nieuwe database moet nog het commando 'ods-migrate' gerund worden om de conversie af te maken.
De ODS-database wordt alleen intern gebruikt door de Enforcer (ods-enforced), die voor versie 2.0 flink onder handen genomen is. De Signer (ods-signerd) heeft bij deze upgrade geen conversie nodig. Wel moet het interne configuratiebestand '/var/opendnssec/enforcer/zones.xml' de eerste keer handmatig geïnstalleerd worden door het oude bestand '/etc/opendnssec/zonelist.xml' te copiëren.
Zie verder de source file '.../enforcer/utils/1.4-2.0_db_convert/README.md' voor details.
Gepubliceerd op 22-08-2016
"DNSSEC uiterlijk eind 2017 bij alle gemeenten geïmplementeerd"
Zonder veilige basisinfrastructuur geen digitale overheid
Gemeenten moeten DNSSEC uiterlijk eind 2017 hebben geïmplementeerd. Zo schrijft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties in antwoord op kamervragen. Hetzelfde geldt voor de andere internet-beveiligingsstandaarden die op de 'pas toe of leg uit'-lijst staan: TLS, DKIM en SPF.
Aanleiding voor de kamervragen was het bericht dat Gemeentelijke e-mail 'gênant slecht' beveiligd
is. Volgens Binnenlands Bestuur blijkt uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten dat slechts drie van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, 's-Hertogenbosch en Woerden.
Die uitkomsten komen overeen met onze eerdere bevindingen, waaruit ook bleek dat hetzelfde geldt voor centrale overheden.
Gepubliceerd op 30-06-2016
'Key relay'-protocol voor verhuizen DNSSEC-ondertekende domeinnamen gestandaardiseerd
Deze zomer wordt het 'key relay'-protocol officieel gestandaardiseerd door de IETF. Dat betekent dat deze zal worden gepubliceerd als Internet Standard RFC.
Het 'key relay'-protocol is een noodzakelijk onderdeel voor het veilig verhuizen van DNSSEC-ondertekende domeinnamen tussen verschillende registrars. Om dat zonder onderbreking van de beveiliging te kunnen doen, moet een uitwisseling van sleutelmateriaal plaatsvinden. De bovenliggende registry is dan de aangewezen partij om dit voor zijn registrars te faciliteren.
Gepubliceerd op 23-06-2016
SIDN rolt KSK-sleutels van .nl-domein
Vorige week heeft SIDN het KSK-sleutelpaar voor het .nl-domein "gerold". Dit sleutelpaar vormt de cryptografische basis voor alle met DNSSEC beveiligde .nl-domeinnamen. De ingebruikstelling van een nieuw sleutelpaar verloopt dan ook volgens een strikt veiligheidsprotocol — de ceremonie — die de betrouwbaarheid van de DNSSEC-infrastructuur moet garanderen.
Het oude KSK-sleutelpaar is al in 2010 in gebruik genomen, met de onofficiële introductie destijds van DNSSEC in Nederland. Dit sleutelpaar moest uiterlijk binnen zes jaar — dat wil zeggen voor december van dit jaar — vervangen worden.
Gepubliceerd op 14-06-2016
OpenDNSSEC versie 2.0 in beta uitgebracht
Eerder deze maand verscheen versie 2.0 beta van OpenDNSSEC. Dit is de eerste grote release sinds NLnet Labs het volledige beheer van dit project op zich nam.
Belangrijkste vernieuwing is de herschreven Enforcer (verantwoordelijk voor het sleutelbeheer). Waar informatie voor roll-over scenario's voorheen uitgespecificeerd moest worden in de configuratie, is de nieuwe Enforcer intelligent genoeg om daarin zelf ook beslissingen te kunnen nemen. Dat maakt het mogelijk om:
- de TTL-waarden en andere instellingen in de Key And Signing Policy (KASP) te veranderen, waarna de Enforcer weet wanneer er veilig gerold kan worden;
- veilig over te gaan naar een niet-ondertekende toestand;
- op elk moment te rollen, ook als er al een roll-over in gang is gezet;
- over te gaan naar een ander cryptografisch DNSSEC algoritme;
- naast de pre-publicatie roll-over ook andere methoden te gebruiken, zoals 'double DS roll-over' en 'double RRSIG roll-over' (zie RFC 7583 voor de details).
Gepubliceerd op 13-05-2016
DNSSEC-algoritmen nummer 13 en 14 nog maar beperkt gebruikt
Sinds kort worden ook DNSSEC-algoritmen nummer 13 en 14 door SIDN ondersteund. Daarmee is het nu mogelijk geworden om ook .nl-domeinen ondergebracht bij CloudFlare met DNSSEC te beveiligen. Voorheen kon het sleutelmateriaal dat deze CDN-aanbieder standaard ter beschikking stelt (algoritme 13) immers niet bij SIDN aangemeld worden.
Een aantal kleinere registrars heeft gelijk van deze nieuwe mogelijkheid gebruik gemaakt. Om grote aantallen gaat het echter nog niet: sinds de introductie zijn 330 extra domein ondertekend. Marco Davids, research engineer bij SIDN, schat het totale aantal .nl-domeinen bij CloudFlare waarvoor DNSSEC nu aangezet kan worden op ongeveer 20 duizend. Voor CloudFlare-gebruikers (of hun registrars) is het slechts een kwestie van het registreren van hun sleutelmateriaal om direct DNSSEC aan te zetten.
Gepubliceerd op 04-05-2016
Open internetstandaarden: overheden moeten aan de slag!
In mei 2012 — precies vier jaar geleden — zette de Nederlandse overheid DNSSEC op de 'pas-toe-of-leg-uit'-lijst. Daarmee werden overheidsorganisaties min of meer verplicht om deze beveiligingsstandaard te gaan gebruiken. Na die goede eerste stap is de overheid echter achtergebleven met de daadwerkelijke implementatie van DNSSEC. Zo schrijft Michiel Henneke, marketing manager bij SIDN, in een blog posting. Van de 23 grootste overheidssites zijn er maar tien beveiligd met DNSSEC. Een lijn lijkt daarbij niet zichtbaar: rijksoverheid.nl is ondertekend, politie.nl niet.
Een eerdere inventarisatie liet ook al zien dat de overheid — samen met banken, grote ondernemingen en ISP's — sterk achterblijft ten opzichte van het gemiddelde. Inmiddels zijn 2,5 van de 5,6 miljoen .nl-domeinen (45 procent) van DNSSEC voorzien. Daarmee behoort Nederland wereldwijd tot de koplopers.
Gepubliceerd op 03-05-2016
MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13
De recentelijke ondersteuning van DNSSEC-algoritmen nummer 13 en 14 door SIDN kwam internet-dienstverlener MIDDAG heel goed uit. Begin dit jaar heeft het bedrijf het beheer van al zijn domeinnamen ondergebracht bij CDN-aanbieder CloudFlare. Omdat CloudFlare zijn sleutelmateriaal alleen beschikbaar stelt op basis van algoritme nummer 13 en SIDN dit protocol nog niet ondersteunde, was daarmee de weg naar DNSSEC geblokkeerd. Nu dat probleem is opgelost heeft MIDDAG gelijk alle 160 .nl-domeinen van DNSSEC voorzien.
Rond de jaarwisseling zijn we voor het beheer van al onze domeinen overgestapt naar CloudFlare,
vertelt Vic D'Elfant, software architect en eigenaar van MIDDAG. We hebben toen contact opgenomen met SIDN en gevraagd of zij algoritme nummer 13 konden ondersteunen. Toen we van hen hoorden dat deze mogelijkheid in de volgende release van DRS zou zitten, hebben we dat even afgewacht.
Lees hier het volledige artikel
Gepubliceerd op 08-04-2016
SIDN ondersteunt nu ook cryptografische DNSSEC-algoritmen 13 en 14
DNSSEC-protocol veiliger, maar vooral korter
Sinds vorige maand ondersteunt SIDN ook de cryptografische DNSSEC-algoritmen nummer 13 (ECDSA Curve P-256 with SHA-256) en 14 (ECDSA Curve P-384 with SHA-384). Dat betekent dat registrars de DNSKEY-records voor hun .nl-domeinen nu ook in deze twee "nieuwe" formaten kunnen aanleveren in de DRS-interface. Bovendien kunnen zij deze optie via hun dashboard ook beschikbaar maken voor klanten die zelf hun DNS beheren. Deze mogelijkheid wordt op dit moment al aangeboden door TransIP. Voor kleinere web-ontwikkelaars als Middag en KO3.net was dit een gelegenheid om de door hun beheerde .nl-domeinen voor hun klanten van DNSSEC te voorzien.
De DNSKEY-records worden door SIDN gebruikt om de DS-records te genereren. Deze bevatten een hash-waarde (een digitaal uittreksel) die de publieke (KSK) sleutels voor het betreffende .nl-domein koppelen aan de .nl-zone. Daarmee wordt de cryptografische vertrouwensketen (de chain of trust) naar de root zone gesloten.
Gepubliceerd op 01-04-2016
DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen
DNSSEC heeft de wereld van de DNS operator op twee belangrijke punten veranderd. Ten eerste is DNS hiermee van een voornamelijk administratief systeem geëvolueerd tot een aanzienlijk complexer cryptografisch platform dat voor een heleboel nieuwe toepassingen gebruikt kan worden. Ten tweede introduceert DNSSEC voor het eerst absolute tijden in een systeem dat voorheen alleen relatieve tijden (TTL's) kende. Bovendien interacteren deze twee verschillende timing-methoden met elkaar.
In dit artikel behandelen we de timing-aspecten van DNSSEC aan de hand van de instellingen voor OpenDNSSEC (in het bestand /etc/opendnssec/kasp.xml). Dat is de meestgebruikte DNSSEC-oplossing voor Bind named, dat op zijn beurt weer de meestgebruikte DNS-server is.
Gepubliceerd op 22-02-2016
Nieuwe versie OpenDNSSEC gepubliceerd
Eerste release van versie 2.0 volgt later deze maand
Vorige week publiceerde NLnet Labs versie 1.4.9rc1 van OpenDNSSEC. Belangrijkste wijziging is het oplossen van een bug die de praktische schaalbaarheid naar meer dan 50 zones in de weg stond.
Tegelijkertijd werkte NLnet Labs aan versie 2.0, waarvan de eerste release voor het eind van deze maand moet verschijnen. Naar verwachting zullen in de loop van dit jaar nog meerdere vervolgversies worden gepubliceerd. Daarmee heeft NLnet Labs de doorontwikkeling van dit project na de overname van de Zweedse registry IIS daadwerkelijk in gang gezet.
Gepubliceerd op 15-01-2016
"Gebruik voor DNSSEC encryptie-sleutels van voldoende lengte"
Een klein aantal van de encryptie-sleutels gebruikt voor DNSSEC is te kort om veilig te zijn. Zo blijkt uit een gezamelijke analyse van de .nl-zone door SURFnet, de Universiteit Twente en SIDN Labs. Marco Davids, research engineer bij SIDN, wijst daarom in een blog post op het belang van een minimale sleutellengte voor een zinvolle toepassing van DNSSEC.
Davids verwijst hiervoor naar RFC 6781 waar voor het RSA-algoritme een sleutellengte van 1024 bits wordt aangeraden. Voor het modernere ECDSA-algortime is een lengte van 256 bits al ruim voldoende. Aan de brede ondersteuning van ECDSA voor DNSSEC wordt op dit moment echter nog gewerkt.
Hoewel je met extra lange sleutels veilig zit voor langere tijd (vele jaren), is de keuze altijd een afweging tussen veiligheid enerzijds en verwerkingskracht en netwerkverkeer anderzijds. Een langere sleutel betekent immers dat de betrokken systemen langer bezig zijn met de ondertekening en validatie, en dat de DNS-servers meer data moeten transporteren in hun antwoorden. Voor een DNS operator van enige omvang is het dus een kwestie van een veilige maar niet te lange sleutellengte kiezen (1024 bits RSA), en deze sleutelparen vervolgens regelmatig te verversen ("rollen").
Gepubliceerd op 08-01-2016
SIDN Labs breidt DNSSEC-statistieken verder uit
SIDN Labs heeft de DNSSEC-informatie op zijn statistieken-site stats.sidnlabs.nl verder uitgebreid. In totaal zijn er vijf nieuwe tabellen aan de DNSSEC-pagina toegevoegd.
Drie van die nieuwe tabellen laten informatie zien over validerende resolvers per Autonomous System (AS). De andere twee betreffen de validerende resolvers van Google's DNS Service (alle) en die van OpenDNS (geen), en de 'port randomness' per resolver (een maatregel tegen cache poisening-aanvallen).
In deze blog van Moritz Müller, research engineer bij SIDN Labs, leest u meer over de nieuwe DNSSEC-statistieken.
Gepubliceerd op 08-12-2015
SIDN perst laatste DNSSEC-validatiefouten uit de .nl-zone
Validation Monitor XXL controleert elke nacht alle .nl-domeinen
Afgelopen voorjaar nam SIDN de Validation Monitor XXL in gebruik. Deze tool controleert nu elke nacht alle 2,5 miljoen DNSSEC-ondertekende domeinen op validatiefouten. Daarmee is weer een flinke slag gemaakt in het terugdringen van het aantal fouten in de .nl-zone. Dat aantal ligt inmiddels onder de 1,2 promille. Bovendien gaat het steeds meer om domeinnamen die niet of nauwelijks gebruikt worden.
Voor access providers is er geen enkele reden meer om DNSSEC-validatie op hun caching resolvers niet aan te zetten. De vrees voor extra belletjes van klanten naar de helpdesk is inmiddels niet meer gerechtvaardigd. Voor de grote Nederlandse providers is het nu zaak om bij de toeleveranciers waar het beheer van hun netwerk-infrastructuur is ondergebracht aan te dringen op de ondersteuning van validatie.
Lees hier het volledige artikel
Gepubliceerd op 27-11-2015
Olaf Kolkman ontvangt NLUUG Award, mede vanwege bijdragen aan DNSSEC
Afgelopen week ontving Olaf Kolkman, Chief Internet Technology Officer bij ISOC, de 'NLUUG Award of life-time achievement'. De award werd toegekend vanwege zijn werk voor de technische internetgemeenschap en infrastructuur. DNSSEC is een van de onderwerpen waaraan Kolkman een belangrijke bijdrage heeft geleverd.
Hij heeft veel gedaan voor de wereldwijde acceptatie van DNSSEC,
zo staat er in de aankondiging van de toekenning. NLnet Labs heeft onder zijn leiderschap open source tools geproduceerd die de uitrol van DNSSEC goedkoper en stabieler hebben gemaakt. Nederland is door de activiteiten van NLnet Labs, RIPE NCC, SIDN, en PowerDNS een wereldleider op het gebied van DNSSEC. Er zijn nu 2,4 miljoen .nl-domeinen met DNSSEC actief (zo'n 44 procent van alle .nl-domeinen).
Gepubliceerd op 23-11-2015
Nederland zet in op internetveiligheid tijdens EU-voorzitterschap
De veiligheid van internet wordt een belangrijk onderwerp tijdens het Nederlandse EU-voorzitterschap in 2016. Dat staat in de plannen van het Ministerie van Veiligheid en Justitie voor dat jaar. Op de agenda staan onder meer het realiseren van een actuele EU Cyber Security Strategy en een meer geïntegreerde aanpak van cyber security en cyber crime.
Nederland
Voor ons eigen land staan er twee nieuwe wetten op stapel. Volgend jaar worden organisaties in essentiële sectoren — met name elektriciteit, gas, drinkwater, telecom, finance, waterbeheer, transport en de overheid zelf — waarschijnlijk verplicht om ernstige digitale veiligheidsincidenten te melden. Een dergelijke melding moet worden gedaan aan de Minister van Veiligheid en Justitie en wordt behandeld door het Nationaal Cyber Security Centrum (NCSC). Deze kan de melder helpen bij de afhandeling van het incident, om zo de maatschappelijke schade zo veel mogelijk te beperken.
Gepubliceerd op 22-10-2015
SIDN komt met validerende DNS-dienst
SIDN heeft een eigen DNS-dienst gelanceerd. Daarmee biedt de beheerder van het .nl-domein een veilig alternatief voor de klanten van al de internet access providers die nog steeds geen DNSSEC-validatie doen.
De nieuwe DNSSEC-dienst is vooralsnog alleen bestemd voor organisaties. Zo kan SIDN het aantal gebruikers geleidelijk laten groeien. Op dit moment loopt er een pilot bij een onderwijsinstelling waar ongeveer 1.000 studenten van deze dienst gebruikmaken. De komende tijd zal de DNS-dienst voor meer gebruikers beschikbaar worden gemaakt.
De eigen DNS-dienst geeft SIDN de gelegenheid om zelf ervaring op te doen met de validatie van DNSSEC. Doelstelling blijft wel dat de access providers zo snel mogelijk DNSSEC-validatie voor hun klanten aanzetten.
Meer informatie over de nieuwe dienst leest u hier:
Gepubliceerd op 20-10-2015
Argeweb ondertekent .nl- en .eu-domeinen
Argeweb heeft in totaal 180 duizend domeinen, waarvan 95 procent door de provider wordt beheerd. Daarvan zijn nu respectievelijk 105 en 13 duizend .nl- en .eu-domeinen met DNSSEC beveiligd. Volgens een woordvoerder stond DNSSEC al langer op hun verlanglijstje. Veiligheid was daarbij doorslaggevend. De incentive-regeling is uiteraard een mooi steuntje in de rug.
Gepubliceerd op 14-09-2015
Slechts een kwart van nationale overheidsdomeinen in Europa met DNSSEC beveiligd
Maar 25 procent van de internationale hoofddomeinen van de nationale overheden in de EU is beveiligd met DNSSEC. Zo blijkt uit een inventarisatie die eerder deze maand door de Belgische beveiligingsanalist Koen Van Impe werd gemaakt. Het Nederlandse overheidsdomein government.nl is gelukkig wel ondertekend.
Van de 28 onderzochte domeinen bleken er maar 7 te zijn beveiligd: die van Estland, Griekenland, Groot-Brittanië, Nederland, Spanje, Tsjechië en Zweden. 5 Europese top-level domeinen (TLD's) zijn nog helemaal niet van DNSSEC voorzien: die van Cyprus, Italië, Malta, Roemenië en Slowakije.
Gepubliceerd op 21-08-2015
Antagonist ondertekent zijn gehoste domeinnamen
Antagonist heeft eerder dit jaar alle .nl-domeinen die de webhoster voor zijn klanten beheert voorzien van DNSSEC. Daarmee brak het aantal ondertekende .nl-domeinnamen door de twee miljoen. En dankzij dit soort registrars die hun hele bestand in één keer beveiligen loopt die groei lekker door: inmiddels zijn al meer dan 2,4 van de bijna 5,6 miljoen .nl-domeinen ondertekend.
Het ondertekenen van de .nl-domeinen waarvoor ook de hosting bij Antagonist is ondergebracht werd vergemakkelijkt doordat dat in een geïsoleerde omgeving kon gebeuren. We hebben hier twee aparte sets van nameservers staan,
vertelt ontwikkelaar Ewoud Kohl van Wijngaarden, een voor onze hosting-klanten en een voor mensen die alleen hun domeinnamen bij ons geregistreerd hebben. Beide omgevingen maken gebruik van PowerDNS. Voor de hosting-domeinen hebben we DirectAdmin aan PowerDNS gekoppeld. De andere domeinen worden vanuit het customer panel 'Mijn Antagonist' door de klanten zelf beheerd en kunnen weer naar servers elders verwijzen. Omdat we de domeinen anders behandelen, hebben we gekozen voor twee gescheiden omgevingen met elk hun eigen interface, nameservers en policies.
Lees hier het volledige artikel
Gepubliceerd op 01-07-2015
Een interview met Tim Draegen, mede-bedenker van de DMARC-standaard
Het Platform Internetstandaarden organiseerde onlangs in Den Haag een DMARC-masterclass. De hoofdspreker was Tim Draegen, een van de bedenkers van de DMARC-standaard en mede-oprichter van dmarcian.com. In dit interview vertelt hij over de keuzen die zijn gemaakt om DMARC — een van de eerste use cases voor DNSSEC — zo snel mogelijk doorgevoerd te krijgen, voor welke partijen deze standaard het meest interessant is en welke problemen er nog liggen.
Lees hier het volledige interview
Gepubliceerd op 08-06-2015
Internet.nl controleert implementatie DNSSEC en andere moderne internetstandaarden
Op de website Internet.nl kunnen bezoekers controleren of hun verbinding en hun web- en mail-domein wel van moderne internetstandaarden zijn voorzien. Is dat niet of maar gedeeltelijk het geval, dan krijgt de bezoeker een gedetailleerde rapportage te zien. Die informatie moet hem of haar helpen bij het aanvragen van de betreffende dienst bij zijn provider of bij het oplossen van eventuele configuratiefouten en andere problemen.
Gepubliceerd op 28-04-2015
Uitnodiging Masterclass DMARC
Op dinsdag 21 april organiseert het Platform Internetstandaarden een Masterclass over DMARC. U bent daarvoor van harte uitgenodigd.
Tijdens deze masterclass zal de Amerikaan Tim Draegen, die aan de basis stond van DMARC, u bijpraten over de ins en outs van deze beveiligingsstandaard.
DMARC is een standaard voor het beveiligen van mail-verkeer. Deze standaard publiceert via DNS een policy voor de afhandeling van berichten die niet door de DMARC- of SPF-validatie heen komen. Hoewel DNSSEC voor DMARC en de andere twee beveiligingsstandaarden niet verplicht is, willen we het gebruik daarvan wel aanraden.
Gepubliceerd op 09-04-2015
DNSSEC-statistieken uit SIDN's ENTRADA big data platform
SIDN Labs heeft een statistieken-pagina opgezet. Hoewel die moet uitgroeien tot een veel breder overzicht van het .nl-domein, laat die nu nog alleen de DNSSEC-statistieken zien. De gegevens worden verkregen uit ENTRADA (ENhanced Top-level domain Resilience through Advanced Data Analysis), SIDN's big data platform voor DNS. De informatie is bedoeld voor iedereen die geïnteresseerd is in de ontwikkeling van Internet en de onderliggende technologie.
Gepubliceerd op 06-04-2015
Monshouwer breidt publicatiestatistieken uit met percentage DNSSEC-ondertekend
Kees Monshouwer heeft zijn DNSSEC-grafiek uitgebreid met het percentage ondertekende domeinnamen. Omdat wij deze grafiek zelf regelmatig op deze site hebben gebruikt, maken we hier graag melding van.
Gepubliceerd op 26-03-2015
Tweeluik DANE: TLSA records voor het web en voor mail
DANE is een protocol voor het veilig publiceren van publieke sleutels en certificaten dat voortbouwt op DNSSEC. Hoewel DANE dus breder inzetbaar is, doet het op dit moment zijn eerste intrede met name in de wereld van de web-certificaten (HTTPS) en de beveiliging van mail-transport (SMTP). In dit artikel focussen we daarom specifiek op de inzet van DANE voor het beveiligen van TLS — officieel DANE TLSA geheten.
Het eerste deel van dit tweeluik beschrijft de TLSA records en hun praktische inzet voor websites. In dit tweede deel laten we zien hoe DANE gebruikt kan worden om mail gateways cryptografisch te beschermen.
Gepubliceerd op 18-03-2015
RijksDNS valideert DNSSEC; ondertekening volgt later dit jaar
RijksDNS is een infrastructuurdienst van SSC-ICT Haaglanden. Hun resolvers zijn in principe voor iedereen op het Rijksnetwerk beschikbaar. In totaal gaat het om 30 duizend gebruikers. Validatie van DNSSEC werkt inmiddels zonder problemen. Komend jaar worden ook alle negentig domeinen ondertekend.
SSC-ICT Haaglanden valt onder het Ministerie van BZK en is verantwoordelijk voor de ICT-dienstverlening aan bijna alle Nederlandse ministeries. Het onderdeel bedient naast BZK ook IenM, Financiën, VWS en SZW, die tesamen goed zijn voor bijna tweeduizend applicaties. In 2014 zijn daar de ICT-afdelingen van Justitie, BZ en AZ bijgekomen. De organisaties en hun infrastructuur worden op dit moment in het grotere geheel geïntegreerd.
Lees hier het volledige artikel
Gepubliceerd op 17-02-2015
Aandachtspunten bij de configuratie van PowerDNS voor DNSSEC
PowerDNS is de meest gebruikte autoritatieve/administratieve DNS-server bij registrars die in bulk hun domeinen ondertekenen. Naar aanleiding van de ervaringen bij die implementaties heeft hoofdontwikkelaar Bert Hubert al eerder een aantal tips op een rijtje gezet. In dit artikel voegen we daar nog drie recente aandachtspunten aan toe.
Lees hier het volledige artikel
Gepubliceerd op 12-02-2015
Edutel doet al vijf jaar DNSSEC-validatie voor zijn klanten
Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet het Brabantse Edutel dat inmiddels al vijf jaar voor zijn klanten. Langzamerhand volgen meer access providers dit voorbeeld, waarmee het belang van een foutloze registratie bij houders en registars van domeinen snel groter wordt.
Edutel levert internet over glas aan Brabantse particulieren en MKB-ers. Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet Edutel dat al sinds 2009 voor zijn klanten. Destijds kwam de veiligheid van DNS negatief in het nieuws,
vertelt Network/System Engineer Michiel Piscaer. Dus toen DNSSEC beschikbaar kwam, zijn we het gelijk gaan gebruiken. En sindsdien hebben we het niet meer uitgezet. Al onze klanten krijgen via DHCP onze DNS resolvers aangeboden en zijn op die manier beschermd tegen DNS-gebaseerde aanvallen.
Lees hier het volledige artikel
Gepubliceerd op 30-01-2015
Yourhosting ondertekent meer dan 200 duizend domeinen, en meer volgt
Vorige week brak het aantal ondertekende .nl-domeinen door de twee miljoen. Het bereiken van deze nieuwe mijlpaal hebben we onder andere te danken aan Yourhosting. Deze registrar ondertekende afgelopen week meer dan 200 duizend domeinen.
We hebben in totaal 227 duizend .nl-domeinen,
vertelt Bart Carlier, general manager bij Yourholding. Voor 214 duizend daarvan zijn wij ook de operator. Die zijn inmiddels allemaal met DNSSEC beveiligd.
Lees hier het volledige artikel
Gepubliceerd op 11-12-2014
DNSSEC op Infoblox: een kwestie van aanklikken
Wel extra aandacht nodig voor tijdsynchronisatie en crypto-algoritmen
Wie al Infloblox-appliances in huis heeft en zijn domeinen wil ondertekenen of zijn resolvers wil laten valideren, hoeft daarvoor in principe maar heel weinig te doen. In beide gevallen is het slechts een kwestie van aanklikken. Voordat je zo ver bent, is het echter wel belangrijk om de default-instellingen voor DNSSEC aan te passen. Bovendien vereist DNSSEC een goed gesynchroniseerde systeemtijd. In dit artikel bespreken we alles wat nodig is om tot een goede DNSSEC-configuratie op Infoblox te komen.
Lees hier het volledige artikel
Gepubliceerd op 08-12-2014
Twee miljoen .nl-domeinen ondertekend
Vandaag is het aantal ondertekende .nl-domeinen door de twee miljoen gebroken. Daarmee is nu 36 procent van de ruim 5,5 miljoen domeinen met DNSSEC beveiligd. De wereldwijde toppositie die Nederland hiermee bekleedt hebben we vooral te danken aan de grote registrars die de domeinen van hun klanten in bulk hebben ondertekend.
Het bereiken van deze nieuwe mijlpaal is nog maar een paar maanden nadat we trots aankondigden dat eenderde van alle .nl-domeinen was ondertekend. Met name de registrars Yourhosting en Antagonist zijn verantwoordelijk voor deze laatste groeispurt.
Gepubliceerd op 05-12-2014
Gemeente 's-Hertogenbosch valideert DNSSEC op basis van Unbound
Progressief in techniek, conservatief in beveiliging
Hoewel de gemeente 's-Hertogenbosch zijn hoofddomein nog niet ondertekend heeft, zijn bijvoorbeeld DKIM, SPF en DMARC wel al geïmplementeerd. Hetzelfde geldt voor de validatie van DNSSEC. Als de huidige verbouwing is afgerond zal de DNSSEC-infrastructuur verder worden geconfigureerd. DKIM kan eigenlijk niet zonder DNSSEC-ondertekening.
Lees hier het volledige artikel
Gepubliceerd op 13-11-2014
DNSSEC-inventarisatie: grote verschillen tussen sectoren
Met name financials, grote ondernemingen, overheden en ISP's moeten aan de bak
Om beter inzicht te krijgen in de opbouw van het beveiligde domeinbestand hebben we gedetailleerder gekeken naar de toepassing van DNSSEC in verschillende sectoren. Wat je zou hopen en verwachten is dat organisaties waar veiligheid, geloofwaardigheid en betrouwbaarheid een belangrijke rol spelen hun hoofddomeinen vaker dan gemiddeld ondertekend hebben. Onze inventarisatie laat echter precies het tegenovergestelde zien: deze organisaties blijken juist het slechtst te presteren voor wat betreft de toepassing van DNSSEC.
Lees hier het volledige artikel
Gepubliceerd op 09-09-2014
Seminar 'Nieuwe internetstandaarden' op 9 oktober in Den Haag
Op donderdag 9 oktober vindt in Den Haag het Seminar 'Nieuwe internetstandaarden' plaats. Die middag wordt er onder andere gesproken over DNSSEC, DKIM en DMARC.
Die laatste twee technologieën bouwen voort op DNS(SEC) en bieden een validatie-mogelijkheid voor het bestrijden van spam en malware. Daarbij voorziet DKIM zowel mail body als headers van een digitale handtekening die via DNS gevalideerd kan worden.
DMARC gebruikt het DNS-systeem om policies voor DKIM en SPF te publiceren. Daarin specificeert de domeinbeheerder welke servers als mail gateway mogen fungeren, en wat te doen met berichten die van een ander systeem afkomstig zijn. Bovendien gebruiken grote mailverwerkers als Google, Microsoft en Yahoo! DMARC om informatie over binnenkomende berichten terug te sturen naar de beheerder.
Gepubliceerd op 03-09-2014
Eenderde van alle .nl-domeinnamen met DNSSEC beveiligd
Flexwebhosting ondertekent 80 duizend domeinnamen in een weekend
Inmiddels zijn bijna 1,9 van de 5,5 miljoen .nl-domeinnamen ondertekend. Daarmee is nu eenderde van het Nederlandse bestand met DNSSEC beveiligd. Er is wereldwijd geen ander top-level domein met zo veel ondertekende domeinnamen.
De meest recente bump in DNSSEC-gebruik hebben we te danken aan webhoster Flexwebhosting. Zij hebben vorig weekend in één keer bijna 80 duizend .nl-domeinnamen ondertekend. We hebben onze DNS-infrastructuur al een jaar geleden op deze stap voorbereid,
vertelt consultant Aleksandar Skodric. Onze hidden master ns0 draait PowerDNS met MySQL. Vandaaruit worden de zones verdeeld naar onze drie publieke servers.
Gepubliceerd op 01-09-2014
Hands-on: OpenDNSSEC automatiseert hele DNSSEC-proces
Installatie vraagt wel goed begrip van onderliggende technologie
Hoewel de ondersteuning van DNSSEC in DNS-server-software steeds beter wordt, is deze nog nergens compleet. De publicatie van een eenmaal ondertekende zone lukt inmiddels prima, maar het up-to-date houden van die informatie vraagt nog steeds om handwerk of het schrijven van scripts. BIND — de meest gebruikte DNS-server — en PowerDNS — met name populair hier in Nederland — doen het wat dat betreft beter dan andere veelgebruikte pakketten, zoals NSD, Knot en Yadifa. De laatste versies van BIND bieden inmiddels configuratie-opties om het hertekenen van de zone te automatiseren als veranderingen in de zone file of de sleutels dat nodig maken.
Waar het echt nog aan schort is sleutelbeheer. Met behulp van scripts kun je met BIND of PowerDNS als basis zonder al te veel knutselwerk een heel eind komen, ook in bedrijfsmatige omgevingen. Maar wie bekend is met RFC 6781 ("DNSSEC Operational Practices, Version 2") weet dat hier nog wel wat haken en ogen aan kunnen zitten.
Gepubliceerd op 31-08-2014
RHEL/CentOS 7 voorzien van Bind versie 9.9
Met de release van de laatste RHEL/CentOS Linux distributie is de Bind DNS-server opgewaardeerd van versie 9.8 naar 9.9. Dat is met name interessant voor gebruikers van DNSSEC, omdat daarmee een nieuwe optie beschikbaar is gekomen om de ondertekening van de zone records verder te automatiseren.
Vorige maand lanceerde Red Hat versie 7 van zijn Enterprise Linux systeem RHEL, een paar weken later gevolgd door de community-variant CentOS. Deze Linux distributie is voorzien van Bind 9.9, terwijl dit voor de vorige versie van RHEL nog Bind versie 9.8 was.
Gepubliceerd op 29-07-2014
DNSSEC-sessies op ICANN-bijeenkomst in Londen
Deze week houdt ICANN, de organisatie die verantwoordelijk is voor de coördinatie van het wereldwijde DNS-systeem, in Londen zijn vijftigste bijeenkomst.
Ook DNSSEC komt daar uitgebreid aan de orde, en wel in een drietal sessies:
- DNSSEC for Everybody: A Beginner's Guide (maandag 23 juni):
DNSSEC continues to be deployed around the world at an ever accelerating pace. Businesses and ISPs are building their deployment plans too and interesting opportunities are opening up for all as the rollout continues. In this session we hope to demystify DNSSEC and show how you can easily and quickly deploy DNSSEC yourself. - Informal Gathering of DNSSEC Implementers (maandag 23 juni):
On behalf of the DNSSEC Deployment Initiative DNSSEC Implementers are invited to attend an informal gathering to discuss and exchange information on their DNSSEC implementation experiences. This is a peer-to-peer event for implementers. - DNSSEC Workshop (woensdag 25 juni, 8:30-14:45 BST):
This session is a public presentation and discussion with those actively engaged in the deployment of DNSSEC. Registries, registrars, ISP's and others who plan to deploy DNSSEC services will benefit from the presentation and discussion of the deployment experience.
Agenda:- Introduction and DNSSEC Deployment Around the World
- DNSSEC Activities in the European region
- The Operational Realities of Running DNSSEC
- DANE and DNSSEC Applications
- DNSSEC Automation
- Panel Discussion/Demonstrations on Hardware Security Modules (HSMs)
Gepubliceerd op 24-06-2014
Universiteit Twente implementeert DNSSEC op compleet vernieuwde DNS-infrastructuur
Voor studenten is dit de ideale manier om hands-on ervaring op te doen
Deze maand heeft de Universiteit Twente de implementatie van DNSSEC afgerond. Daarmee is onder andere het hoofddomein utwente.nl ondertekend en zijn alle resolvers van validatie voorzien. Waar de DNS-infrastructuur voorheen bestond uit twee autoritatieve servers, is die nu vervangen door vijf fysieke en twee gevirtualiseerde systemen, alle gebruikmakend van Bind op Ubuntu Linux. Daarmee worden ongeveer 825 eigen domeinnamen beheerd en bij elkaar zo'n 30 duizend apparaten bediend.
Dit project was onderdeel van de Campus Challenge, een competitie georganiseerd door SURFnet en SIDN. De implementatie van DNSSEC was daar een onderdeel van. Omdat een installatie op basis van Infoblox niet bleek aan te sluiten bij hun manier van werken, heeft de UT ervoor gekozen hun nieuwe DNS-infrastructuur helemaal zelf op te bouwen. Hoewel dat wel een paar maanden vertraging opleverde ten opzichte van de originele planning, was dit uiteindelijk voor zowel beheerders als twee betrokken afstudeerders een veel interessanter en leerzamer traject.
Gepubliceerd op 18-06-2014
BIND10: wel veilig en stabiel, maar nog niet compleet
Dit voorjaar heeft ISC versie 1.2.0 van BIND10 aan de internet community overgedragen. Daarmee is dit project wat hen betreft afgerond. Hoewel de technische internet-gemeenschap had gehoopt dat ISC zelf de verdere ontwikkeling van deze DNS-server op zich zou nemen, hebben de bouwers om financiële redenen het BIND10-project helemaal stop moeten zetten.
Voormalig projectleider Shane Kerr spreekt online duidelijk zijn teleurstelling over de hele gang van zaken uit. Volgens hem was het geen goed idee om BIND 9 en 10 naast elkaar te ontwikkelen. Ook ISC zelf geeft in zijn laatste persbericht aan daar de resources niet voor te hebben. De ontwikkeling van de software werd tot nu toe door meer dan een dozijn internet-organisaties en bedrijven gesponsord, waaronder ook SIDN, de beheerder van het .nl-domein.
Gepubliceerd op 12-06-2014
Vijf nieuwe DNSSEC-implementaties
Op weg naar een veiliger internet voor Nederlandse maatschappij en economie
De afgelopen maanden zijn er maar liefst vijf nieuwe DNSSEC-projecten gestart, waarvan vier inmiddels ook succesvol afgerond. Dat is de uitkomst van de Campus Challenge waar SIDN zowel geld als expertise aan bij heeft gedragen. Voorwaarde was dat de deelnemers — alle afkomstig uit de academische en onderzoekswereld — DNSSEC zouden uitrollen, het liefst ook met validatie.
Voor SIDN was het vooral belangrijk dat er meer gevalideerd zou worden. Daarmee wordt de meerwaarde van al die ondertekende domeinnamen in de .nl-zone ook daadwerkelijk benut. Daarnaast was het een goede gelegenheid om de banden van SIDN Labs — ons eigen R&D-team — met universiteiten, onderzoeksinstituten en SURFnet aan te halen.
Gepubliceerd op 01-05-2014
Rijksuniversiteit Groningen valideert DNSSEC voor 100 duizend apparaten
Sinds kort valideert de Rijksuniversiteit Groningen DNSSEC voor al haar gebruikers. In totaal gaat het maar liefst om 100 duizend apparaten. Bovendien heeft de universiteit de eigen domeinnaam ondertekend. Meer domeinen, subdomeinen, servers en clients volgen.
Veiligheid is het belangrijkste argument om met DNSSEC aan de slag te gaan. In het verleden werd al het gebruik gedetecteerd van Russische nameservers, waarmee man-in-the-middle-aanvallen uitgevoerd konden worden. Door het gebruik van de eigen resolvers af te dwingen, kan deze kwetsbaarheid getackeld worden.
Gepubliceerd op 23-04-2014
CWI voortrekker bij implementatie DNSSEC op Science Park
De onderzoeksinstituten CWI, AMOLF en Nikhef hebben het afgelopen jaar DNSSEC volledig geimplementeerd. Door hun eigen domeinnamen te ondertekenen en die van anderen te valideren, hebben zij de beveiliging van hun infrastructuur naar een hoger plan getild. De techniek is op zichzelf niet zo heel spannend,
zegt hoofd systeembeheer Aad van der Klaauw. Het gaat om het maatschappelijk belang van een veiliger internet.
Deze implementatie was onderdeel van de Campus Challenge, een competitie georganiseerd door SURFnet en SIDN. Daarin deden bovendien nog vier andere onderzoeksinstellingen mee. Voor het CWI was deze wedstrijd dan ook een goede gelegenheid om de banden met andere instituten aan te halen, en kennis en technologie uit te wisselen.
Gepubliceerd op 01-04-2014
Percentage fout geconfigureerde DNSSEC-domeinen meer dan gehalveerd
Het percentage DNSSEC-beveiligde .nl-domeinen dat niet goed geconfigureerd is, is in ruim een jaar tijd meer dan gehalveerd. Dat blijkt uit een scan die SIDN vorige week heeft uitgevoerd. Deze reductie is belangrijk voor de verdere invoering van DNSSEC. Validerende providers willen hun klanten immers niet opschepen met bereikbaarheidsproblemen die veroorzaakt worden door registrars en DNS-operators die hun zaakjes niet goed voor elkaar hebben.
Gepubliceerd op 03-03-2014
Ondersteuning voor veilige verhuizing van ondertekende domeinen is compleet
Hoewel DNSSEC in Nederland al bijna twee jaar geleden officieel is ingevoerd, is het verhuizen van beveiligde domeinen altijd een probleem gebleven. Je wilt immers dat een eenmaal ondertekend domein niet alleen bij de nieuwe registrar maar ook tijdens de hele overdracht beveiligd blijft.
Het daarvoor benodigde verhuisprotocol werd een paar jaar geleden al door Antoin Verschuren, Technisch Adviseur bij SIDN, bedacht en wordt inmiddels bij de IETF gestandaardiseerd.
Gepubliceerd op 03-02-2014
Helft van alle top-level domeinen nu ondertekend
Inmiddels is meer dan de helft van alle top-level domeinen (TLD's) ondertekend, zo meldde ICANN vorige week. Dat betekent dat alle houders van domeinen onder deze TLD's in principe DNSSEC kunnen aanzetten. Eventueel moeten zij daarvoor wel naar een andere (ondersteunende) registrar overstappen.
Gepubliceerd op 27-01-2014
SIDN wint Internet Innovatie Award met EPP key relay
De key relay uitbreiding van het EPP protocol heeft de Internet Innovatie Award 2014 gewonnen. Deze prijs voor vernieuwende en belangwekkende initiatieven rondom internet werd dit jaar voor het eerst uitgereikt door de Internet Society (ISOC.nl). Hij werd namens het team in ontvangst genomen door Antoin Verschuren, technisch adviseur bij SIDN en een van de bedenkers van de uitbreiding.
Gepubliceerd op 20-01-2014
Franse registry geeft DNSSEC impuls
In navolging van SIDN heeft ook Afnic, de beheerder van het Franse .fr top-level domein een stimuleringsregeling voor de invoering van DNSSEC in het leven geroepen. Dit als onderdeel van een meerjarig strategisch plan om de Franse internet-infrastructuur veiliger te maken.
Daartoe hebben de Fransen een (Engelstalige) deployment guide voor DNSSEC beschikbaar gemaakt. Daarin valt te lezen wat de kwetsbaarheden zijn van DNS, wat DNSSEC is en hoe je domein te ondertekenen, gevolgd door praktische voorbeelden. Die laatste bevatten niet alleen allerlei handige tips maar ook een heleboel concrete stukjes configuratie die ook voor niet-Franse DNS operators interessant kunnen zijn.
Daarnaast is in samenwerking met netwerk- en security specialist HSC een training opgezet voor Franse DNS operators.
Gepubliceerd op 13-01-2014
16 december: webinar "Update over anycast, DNSSEC en AbuseHUB voor ISP's"
Op maandag 16 december organiseert SIDN een webinar waarin onder andere DNSSEC wordt besproken. De nadruk zal daarbij meer op de validatie van al beveiligde namen liggen dan op de ondertekening van nog niet beveiligde domeinen. Inmiddels is immers bijna een derde van de .nl-domeinen (1,7 van de 5,4 miljoen) van deze cryptografische beveiliging voorzien. Daarmee loopt Nederland ver vooruit op de rest van de wereld. De validatie bij clients en caching name servers komt echter nu pas langzaam op gang.
Gepubliceerd op 06-12-2013
Mr. DNS: "We zitten al te lang met de risico's van een onbeveiligd DNS-systeem"
Een interview met Cricket Liu, mede-auteur van het standaardwerk 'DNS and BIND'
De op dit moment nog beperkte mogelijkheden voor de automatisering van het DNSSEC-beheer vormen de belangrijkste drempel voor de verdere invoering van deze beveiliging voor het DNS-systeem. Dat zegt Cricket Liu, Chief Infrastructure Officer bij Infoblox en mede-auteur van het standaardwerk 'DNS and BIND'. BIND versie 10 is een heel nieuw platform. Alle software is compleet herschreven. Tegelijkertijd heeft ISC veel functionaliteit voor de automatisering van DNSSEC aan de laatste versies van BIND 9 toegevoegd. En dat is maar goed ook. Anders waren al die BIND 9 gebruikers in de problemen gekomen. Die hadden dan naar versie 10 moeten overstappen, terwijl dat echt een heel ander systeem is.
Lees hier het volledige interview
Gepubliceerd op 26-11-2013
Eerste beveiligde verhuizing van een ondertekend domein succesvol uitgevoerd
De eerste beveiligde verhuizing van een ondertekend domein is deze zomer succesvol uitgevoerd, nog op dezelfde dag dat SIDN het 'key relay' commando voor zijn registrars beschikbaar maakte. Een goede implementatie zou niet langer dan een paar dagen hoeven duren. Eigenlijk zou iedereen die nu DNSSEC aanbiedt op zijn minst als latende partij het verhuisprotocol moeten ondersteunen.
Dat het verhuizen van een ondertekend domein naar een nieuwe registrar in principe mogelijk was zonder de beveiliging te verbreken, was al langer bekend. Het afgelopen jaar hebben de technici bij SIDN, de beheerder van het .nl top-level domein, dit verhuisprotocol verder uitgewerkt. Het grootste obstakel om daadwerkelijk tot implementatie over te kunnen gaan, was dat er tot voor kort geen mogelijkheid bestond voor de registrars om sleutelmateriaal uit te wisselen, een vereiste om deze transacties af te kunnen wikkelen.
Lees hier het volledige case-verhaal
Gepubliceerd op 19-11-2013
Nieuwe kwetsbaarheden in DNS maken DNSSEC-validatie noodzakelijk
In de afgelopen weken zijn er twee wetenschappelijke studies verschenen die nieuwe kwetsbaarheden in het DNS-systeem beschrijven. Daarnaast is er wederom een aantal registrars en registrar resellers gehackt, wat duidelijk maakt dat DNS en de provisioning van DNS steeds vaker doelwit zijn van aanvallen op de internet-infrastructuur.
Er zijn al veel individuele kwetsbaarheden om bij te houden. Er is echter wel één ding dat professionele internet-infrastructuurleveranciers kunnen doen om niet vatbaar te zijn voor een toenemend aantal kwetsbaarheden. Door DNSSEC-validatie te doen op DNS resolvers, zijn de meeste aanvallen niet mogelijk.
Lees hier het volledige case-verhaal
Gepubliceerd op 28-10-2013
DNSSEC en IPv6 vanaf 2014 verplicht bij ICANN
Vanaf 1 januari 2014 zijn registries en geaccrediteerde registrars verplicht om DNSSEC en IPv6 te ondersteunen. Dat is onderdeel van de nieuwe RAA-overeenkomst (Registrar Accreditation Agreement).
Daarin staat dat registrars hun klanten de mogelijkheid tot het toevoegen, wijzigen en verwijderen van sleutelmateriaal moeten aanbieden, voor al hun registries die DNSSEC ondersteunen. Meer specifiek gaat het dan om de EPP-uitbreidingen voor DNSSEC zoals die zijn vastgelegd in RFC 5910. Grote kans dat tegen die tijd ook het verhuisprotocol dat de afgelopen maanden door SIDN is uitgewerkt en geïmplementeerd onderdeel is van de DNSSEC/EPP-standaard.
Gepubliceerd op 16-10-2013
EPP 'key relay': een structurele oplossing voor de DNSSEC-verhuisproblematiek
Deze zomer is een structurele oplossing voor het verhuizen van DNSSEC-beveiligde domeinen beschikbaar gekomen. Door de EPP-interface van SIDN uit te breiden met het 'key relay' commando kan de verhuizing van een domein worden uitgevoerd zonder dat daarbij de beveiliging wordt onderbroken. Bovendien kan de hele transitie volledig geautomatiseerd plaatsvinden. Registrars en software-leveranciers kunnen deze nieuwe faciliteit direct in hun dashboards en interfaces opnemen en aan hun gebruikers beschikbaar stellen. Daarmee is een belangrijk obstakel voor verdere adoptie van DNSSEC uit de weg geruimd.
Gepubliceerd op 01-10-2013
SIDN drie keer genomineerd voor een CENTR Award
SIDN is maar liefst drie keer genomineerd voor de CENTR Awards. Deze worden dit jaar voor het eerst toegekend aan registries die een opvallend project of een bijzondere prestatie neergezet hebben. Dat twee van de drie SIDN-nominaties DNSSEC-gerelateerde projecten betreffen, benadrukt nog eens dat we in Nederland absolute koploper zijn op dit gebied.
Gepubliceerd op 23-09-2013
DNSSEC nu volledig in productie bij SURFnet
Na een pilot van een jaar is DNSSEC sinds vorige maand voor elke gebruiker van SURFdomeinen beschikbaar. Dat betekent dat SURFnet-klanten die gebruik maken van de 'managed DNS'-dienst voor hun domein alleen het DNSSEC-vinkje hoeven te activeren. Klanten die zelf als DNS-operator fungeren voor hun eigen domeinen kunnen hun sleutelmateriaal uploaden via de SURFdomeinen-portal — vergelijkbaar met het dashboard van een internet service provider.
Gepubliceerd op 06-09-2013
Gemeenten implementeren DNSSEC-validatie
Hoewel hier in Nederland inmiddels meer dan een kwart van de domeinnamen met DNSSEC ondertekend is, komt de validatie van die digitale handtekeningen nu pas langzaam op gang. Op dit moment implementeren de eerste gemeenten validatie op hun caching DNS-servers. In dit artikel beschrijven we de situatie in Heerlen en Den Bosch, waar men respectievelijk net wel en nog net niet met deze nieuwe beveiligingsstandaard in de weer is.
Gepubliceerd op 21-08-2013
SIDN belt achter DNSSEC-fouten aan
SIDN deed al eerder een oproep aan registrars om hun DNSSEC-registraties en -configuratie in orde te maken. Validatiefouten leveren immers een acuut probleem op voor een webbrowser of een mail gateway, en dus voor de eindgebruiker. Extra wrang daarbij is dat met name klanten getroffen worden van goedwillende internet access providers die validatie op hun caching DNS-servers aan hebben gezet. Ondanks dat Nederland op dit moment wereldwijd absolute koploper is wat betreft de invoering van DNSSEC, lopen we het risico dat validatie moeilijk op gang komt als het aantal fouten te groot wordt. Vandaar dat SIDN inmiddels registrars nabelt als daar configuratiefouten worden gedetecteerd.
Gepubliceerd op 30-07-2013
Gebrek aan kennis is belangrijkste belemmering voor implementatie DNSSEC
Veruit de belangrijkste belemmering voor de implementatie van DNSSEC is een gebrek aan kennis bij de registrars. Zo blijkt uit een zojuist afgerond onderzoek van SIDN, de beheerder van het .nl top-level domein. Andere belemmeringen zijn achtereenvolgens een gebrek aan vraag bij eindgebruikers, een goede ondersteuning in de software en de user-interfaces, sleutelbeheer, investerings- en operationele kosten, de verhuisproblematiek en te weinig kennis bij eindgebruikers.
Gepubliceerd op 07-07-2013
Aantal DNSSEC-ondertekende .nl-domeinen breekt door 1,5 miljoen
Vorige week is het aantal .nl-domeinen dat met DNSSEC is beveiligd door de 1,5 miljoen gebroken. Daarmee is inmiddels bijna dertig procent van in totaal 5,3 miljoen domeinen ondertekend. Nederland is en blijft wereldwijde koploper op DNSSEC-gebied.
Als beheerder van het .nl-domein is SIDN verantwoordelijk voor de stabiliteit en de verdere ontwikkeling van dit top-level domein. De registry verwerkt dagelijks meer dan een miljard zoekopdrachten voor meer dan vijf miljoen domeinnamen. Deze mijlpaal bevestigt de wereldwijde koppositie op DNSSEC-gebied,
aldus marketing manager Michiel Henneke. Wij hebben veruit het grootste aantal ondertekende domeinen. Bovendien groeien we nog steeds door.
Gepubliceerd op 21-06-2013
Workshops DNSSEC bij SURFnet
Op 17 juni 2013 organiseert SURFnet weer een workshop DNSSEC. Deze is gericht op beginners en behandelt de basisprincipes van deze cryptografische beveiliging voor DNS. De twee daaropvolgende dagen vindt er een (vervolg-)workshop plaats waarin deelnemers concreet met DNSSEC aan de slag moeten.
Doelgroep voor deze trainingen zijn mensen die binnen hun organisatie verantwoordelijk zijn voor de DNS-infrastructuur. Basiskennis van DNS, BIND, Unbound of Windows server 2008 DNS is vereist. Na de eerste workshop moet men in staat zijn validatie te aan te zetten op zijn eigen resolving DNS-servers. Na de verdiepende workshop kan men ook de ondertekening van zijn eigen domeinen implementeren.
Gepubliceerd op 13-06-2013
DNSSEC als fundament onder andere beveiligingsprotocollen
DNSSEC is geen op zichzelf staande beveiligingsstandaard. Het fungeert ook als fundament onder nieuwe protocollen die bijvoorbeeld de veiligheid van server-certificaten voor web en mail versterken. Daarnaast worden allerlei bestaande beveiligingsprotocollen met de toepassing van DNSSEC automatisch van een cryptografische basis voorzien.
Gepubliceerd op 01-05-2013
"Registrars moeten hun DNSSEC-configuraties in orde maken"
Validatiefouten bemoeilijken verdere invoering
Onlangs vroeg SIDN zijn registrars om extra aandacht voor DNSSEC-configuratiefouten. Nu steeds meer ISP's op hun caching DNS-servers ook valideren, is het van groot belang dat de DNSSEC-instellingen van een domein in orde zijn. Een domeinnaam die ten onrechte niet goed valideert, levert immers voor een web browser of een mail gateway, en dus voor de eindgebruiker een acuut probleem op.
Gepubliceerd op 15-04-2013
DNS amplificatie-aanvallen straks niet meer te stoppen zonder BCP 38
Twee weken geleden publiceerden de Universiteit van Amsterdam en NLnet Labs een gezamelijk rapport over de effectiviteit van maatregelen tegen DNS amplificatie-aanvallen. Javy de Koning en Thijs Rozekrans simuleerden bij NLnet Labs een ANY-gebaseerde aanval en onderzochten hoe Response Rate Limiting (RRL) het beste ingezet kan worden om een dergelijke aanval te pareren. Daarnaast keken zij naar de effectiviteit van RRL bij geavanceerdere aanvallen en bespreken ze DNS dampening als alternatief verdedigingsmechanisme.
Gepubliceerd op 14-03-2013
DANE maakt het PKI-systeem weer veilig en betaalbaar
Deze zomer is de specificatie voor DANE als officiële RFC gepubliceerd. DANE, kort voor DNS-based Authentication of Named Entities, bouwt voort op DNSSEC. Daarmee kunnen nu ook sleutels en certificaten voor beveiligde websites in het DNS-systeem worden opgenomen.
Gepubliceerd op 23-02-2013
Google Public DNS servers doen nu ook DNSSEC-validatie
De publieke DNS-servers van Google leveren vanaf vorige week ook validatie-informatie als gebruikers om DNSSEC vragen. Daarmee wordt DNSSEC steeds minder vrijblijvend en worden fouten in de configuratie harder afgestraft. Operators en registrars moeten aan de bak.
Begin vorige week heeft Google de validatie van DNSSEC op zijn publieke DNS-servers aangezet. Dat betekent dat domeinen die zijn ondertekend vanaf nu ook daadwerkelijk goed validerende records moeten leveren. Validerende resolvers als Unbound blokkeerden slecht geconfigureerde domeinnamen al, maar deze worden nog maar weinig gebruikt. De meeste clients bevatten immers alleen een stub resolver die afhankelijk is van de DNS-dienst zoals die bijvoorbeeld door internet-provider of IT-afdeling wordt verzorgd.
Gepubliceerd op 04-02-2013
Tweeluik DNSSEC en BIND
Beheerders die zelf hun DNS-servers onderhouden zullen daarvoor meestal gebruik maken van BIND named. Ondanks dat er de afgelopen jaren enorm veel op internet is gepubliceerd over de configuratie van DNSSEC voor deze DNS-server, blijken de meeste van die pagina's inmiddels verouderd te zijn. Omdat Google vooral achterhaalde informatie opleverde en het al met al toch behoorlijk wat tijd kostte om alle instellingen bij elkaar te scharrelen, zetten we in twee hands-on artikelen de hele configuratie nog eens op een rijtje.
In het eerste artikel gaan we uitgebreid in op de configuratie van DNSSEC voor BIND named. In het tweede verhaal bouwen we hier op voort met sleutelbeheer, automatische ondertekening en andere beheersaspecten.
Gepubliceerd op 22-01-2013
Weer valse HTTPS-certificaten in omloop
Vorige maand werden door Google opnieuw valse HTTPS-certificaten ontdekt. Hoewel dit incident in omvang en impact veel beperkter is dan het DigiNotar-debacle, toont het nog eens aan dat het huidige PKI-systeem belangrijke veiligheidsproblemen bevat en op termijn niet houdbaar is. DANE, een protocol dat voortbouwt op DNSSEC, biedt een alternatief dat niet alleen veiliger maar ook goedkoper is.
Op kerstavond ontdekte en blokkeerde de Chrome browser van Google een ongeautoriseerd wildcard certificaat voor het *.google.com domein. Dat wil zeggen dat een web site zich naar de client identificeerde met een vals digitaal certificaat bij het opzetten van een beveiligde TLS-verbinding (HTTPS, het bekende sleuteltje in de web browser).
Gepubliceerd op 10-01-2013
.mil top-level domein laat zijn DNSSEC-handtekening verlopen
Eervorige week heeft het Amerikaanse Ministerie van Defensie de DNSSEC-handtekening voor het .mil-domein laten verlopen. Als gevolg daarvan waren de systemen onder dit top-level domein een dag lang niet meer bereikbaar voor clients die gebruikmaken van een validerende resolver. In een wereld waarin DNSSEC-validatie volledig was geïmplementeerd, had deze fout betekend dat het volledige .mil-domein onbereikbaar zou zijn geworden.
Gepubliceerd op 10-01-2013
DNSSEC-validatie komt langzaam op gang
Op dit moment is het .nl-domein wereldwijd absoluut de grootste als het gaat om de beveiliging met DNSSEC. Het valideren van de DNS records bij de providers moet echter nog goed op gang komen. Hier in Nederland maken onder andere SURFnet, T-Mobile en BIT gebruik van validerende resolvers op hun caching DNS-servers.
BIT is een van de Nederlandse providers die DNSSEC-beveiligde domeinen valideert. Het inschakelen van de validatie heeft ons vrijwel geen werk bezorgd. Wij vinden dat onze klanten er van uit moeten kunnen gaan dat onze DNS-servers deze extra veiligheid gebruiken als die beschikbaar is.
Gepubliceerd op 22-12-2012
Infosecurity.nl: DNSSEC en DKIM bij de overheid
Afgelopen zomer werd DNSSEC door het Forum en College Standaardisatie samen met een paar andere standaarden aan de 'pas toe of leg uit'-lijst toegevoegd. Daarmee zijn overheidsorganisaties nu verplicht deze veiligheidsstandaard te gebruiken. Alleen als zij goede redenen hebben om dat niet te doen, mogen zij daar van afwijken.
In het oktobernummer van Infosecurity.nl geven Bart Knubben, adviseur bij Bureau Forum Standaardisatie, en Nico Westpalm van Hoorn, voorzitter van Forum Standaardisatie, tekst en uitleg. Standaardisatie van gegevensuitwisseling biedt veel economische voordelen. Het werkt echter pas als organisaties hun koppelvlakken op eenzelfde manier inrichten en dat gaat helaas niet vanzelf. College en Forum faciliteren dit proces binnen de overheid.
Lees hier het volledige verhaal (in PDF).
Gepubliceerd op 03-12-2012
Twee presentaties DNSSEC op SIDN relatiedag
Hoe DNSSEC-beveiligde domeinen verhuisd kunnen worden is bekend. Maar over de juiste methode is nog veel discussie. Met name de afstemming tussen de latende en verkrijgende registrar, en de uitwisseling van DNS-informatie zijn nog onderwerp van discussie.
Zo organiseerde hosting provider Oxilion onlangs op haar kantoor een Lunch & Learn bijeenkomst. Daarbij sprak een aantal DNS-specialisten, zowel intern als extern, over de verhuizing van DNSSEC-beveiligde domeinen.
Gepubliceerd op 28-11-2012
Het voordeel van een dubbel DNSSEC-sleutelpaar
Voor het ondertekenen van de DNS records is in principe één cryptografisch sleutelpaar voldoende. Maar in de praktijk wordt meestal met twee van deze sleutelparen gewerkt. In deze getrapte configuratie hoeft men bij vervanging van het ZSK-paar nooit het sleutelmateriaal opnieuw te uploaden.
Gepubliceerd op 28-11-2012
DNSSEC levert bijdrage aan betrouwbaarheid van overheden en bedrijven
Technische veiligheid is cruciaal voor domeinen waar webwinkels, banken en multinationals hun internet-portals draaien. DNSSEC zou daar een vanzelfsprekend onderdeel van moeten zijn. Maar ook de betrouwbaarheid van een merk kan een belangrijke reden zijn om deze beveiliging te implementeren. Dat geldt bijvoorbeeld voor de overheid en de kranten.
Gepubliceerd op 26-11-2012
"Internet heeft een onderhoudsbeurt nodig"
De nu gebruikte internetstandaarden zijn ontworpen in de jaren '70 en voldoen niet meer. Ze kunnen de aantallen gebruikers niet meer aan en hun veiligheidsniveau is onvoldoende gelet op de waarde die online transacties vertegenwoordigen.
Dat schrijft Bart Knubben in zijn blog 'Nederlandse overheid betrokken bij onderhoud internetstandaarden'. Hij is werkzaam voor Bureau Forum Standaardisatie. Dat ondersteunt het College en Forum Standaardisatie en is ondergebracht bij Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Gepubliceerd op 20-11-2012
DNSSEC-validatie zal in de toekomst door de web-browser worden uitgevoerd
Op dit moment zijn clients voor de validatie van DNSSEC bijna volledig afhankelijk van de caching DNS-servers. De meeste besturingssystemen zijn immers alleen voorzien van een stub resolver, die zelf geen validatie uitvoert. In de toekomst zal die controle veelal in de web-browser plaatsvinden. Bijkomend voordeel is dat de browser dan precies kan aangeven wat er eventueel misgaat.
Gepubliceerd op 09-11-2012
DANE maakt PKI-systeem weer veilig en betaalbaar
Deze zomer is de specificatie voor DANE als officiele RFC gepubliceerd. DANE, kort voor DNS-based Authentication of Named Entities, is een uitbreiding van DNSSEC. Daarmee kunnen ook sleutels en certificaten voor beveiligde websites in het DNS-systeem worden opgenomen.
Lees de volledige case story.
Gepubliceerd op 06-11-2012
Toelichting op de storing van 28 oktober
In de loop van zondag 28 oktober ontstond een foutsituatie bij het publiceren van een nieuwe ZSK (Zone Signing Key). Daardoor konden DNSSEC-beveiligde .nl-domeinen niet goed gevalideerd worden. De problemen duurden maximaal twee uur. Inmiddels heeft SIDN maatregelen genomen om de gevolgen van de fout in de toekomst te voorkomen. De onderliggende oorzaak is nog in onderzoek.
Gepubliceerd op 02-11-2012
Gecentraliseerde DNSSEC-validatie op gesloten netwerken
De AD-vlag wordt door caching DNS-servers gebruikt om aan te geven dat zij de DNSSEC records hebben gevalideerd. Een client hoeft deze controle dan niet meer zelf uit te voeren.
Deze setup is natuurlijk alleen veilig op een netwerk waar de beveiliging van 'the last mile' gegarandeerd is. Denk dan aan bedrijfsnetwerken, campusnetwerken, en gesloten netwerken van internet-providers en mobiele operators. Daar kan DNSSEC-validatie samen met DNS-caching gecentraliseerd worden op de recursing DNS-servers.
Gepubliceerd op 31-10-2012
Van signeren naar valideren
De uitrol van DNSSEC aan de zijde van de registrars overtreft alle verwachtingen. Slechts een paar maanden na de introductie is inmiddels meer dan twintig procent van alle .nl-domeinnamen ondertekend. De validering moet echter nog uit de startblokken komen. Een enkele uitzondering daargelaten, wordt DNSSEC in Nederland nog door geen enkele algemene internet provider gecontroleerd.
Gepubliceerd op 17-10-2012
DNSSEC-plugins voor web-browsers
In de afgelopen jaren is er veel nieuwe tooling voor DNSSEC ontwikkeld. Inmiddels zijn er ook voor de belangrijkste browsers (Firefox, Chrome) plugins beschikbaar, waarmee gebruikers kunnen controleren of een site die zij bezoeken gesigned is en correct valideert.
Gepubliceerd op 17-10-2012
Snelheid uitrol DNSSEC overtreft alle verwachtingen
Aantal beveiligde .nl-domeinen doorbreekt één miljoen
Op vrijdag 7 september is het aantal beveiligde .nl-domeinen door de één miljoen gebroken. Daarmee overtreft de snelheid van de uitrol van DNSSEC alle verwachtingen. Hiermee heeft Nederland een enorme voorsprong genomen en onderscheidt het .nl-domein zich wereldwijd van alle andere top level domeinen.
Gepubliceerd op 10-09-2012
Webinar DNSSEC voor overheidsdomeinnamen
Op 6 september a.s. organiseert SIDN, de organisatie achter het .nl-domein, van 15:00 tot 16:00 uur, in samenwerking met Forum Standaardisatie een webinar over DNSSEC voor overheden. De doelgroep zijn IT-, internet-, en security-experts in de overheidssector. Aanleiding voor het webinar is de plaatsing van DNSSEC op de 'pas toe of leg uit'-lijst door het College Standaardisatie.
Gepubliceerd op 17-08-2012
Nederland wereldwijd absolute koploper met de implementatie van DNSSEC
Het .nl-domein is sinds vandaag wereldwijd het internetdomein met het grootste aantal DNSSEC-ondertekende namen. In minder dan drie maanden tijd is het aantal beveiligde domeinnamen van een paar honderd gegroeid naar 355 duizend nu. Daarmee is het Nederlandse top-level domein die van Tsjechië (.cz) en Brazilië (.br), tot voor kort de nummers één en twee, voorbij gegaan.
Gepubliceerd op 07-08-2012
Aantal ondertekende .nl-domeinen groeit exponentieel
Deze week is het aantal met DNSSEC ondertekende .nl-domeinen gegroeid tot meer dan 200.000. Daarmee loopt Nederland wereldwijd voorop in de beveiliging van DNS. Deze explosieve groei is vooral te danken aan DNS-operators die in een keer alle domeinen die ze voor hun klanten beheren van DNSSEC voorzien. De meest recente groeispurt komt voor rekening van hosting provider TransIP, die de afgelopen dagen 110.000 .nl-domeinen ondertekende.
Gepubliceerd op 01-08-2012
DNSSEC Portfolio Checker op sidnlabs.nl
Registrars en andere DNS operators die domeinnamen in hun zone gesigned hebben met DNSSEC, kunnen voortaan snel en eenvoudig controleren of er fouten in hun domeinnamenportfolio zitten indien internet service providers (ISP’s) validerend gaan resolven. Vanaf vandaag is er namelijk een SIDN Portfolio Checker in betaversie beschikbaar op de website van SIDN Labs.
Gepubliceerd op 27-07-2012
Aantal DNSSEC-beveiligde .nl-domeinen nadert de 100.000
Het aantal .nl-domeinen dat met DNSSEC is beveiligd nadert inmiddels de 100.000. Daarmee groeit het aantal ondertekende domeinen explosief. Dat is vooral te danken aan DNS-operators die in een keer alle domeinen die ze voor hun klanten beheren van DNSSEC voorzien.
Deze nieuwe mijlpaal wordt bereikt een week nadat we konden melden dat er inmiddels meer dan tienduizend .nl-domeinen zijn ondertekend. Nederland loopt daarmee voorop in de beveiliging van DNS. Zo zijn hier nu al veel meer domeinen van DNSSEC voorzien dan in het veel grotere .com top-level domein.
Gepubliceerd op 06-07-2012
Meer dan tienduizend .nl-domeinen beveiligd met DNSSEC
Afgelopen week is het aantal met DNSSEC beveiligde .nl-domeinen sterk toegenomen. Hun aantal steeg van 900 naar 12.000. Voornaamste drijvers achter deze stijging waren waren twee registrars (Shock Media en Intention Internet) die een groot deel van hun bestand ondertekenden.
Shock Media bracht eerder deze week een persbericht uit waarin het bedrijf stelde dat het de eerste internet service provider is die deze nieuwe beveiligingsstandaard op grote schaal implementeert. Uit cijfers van SIDN blijkt echter dat Intention vrijwel tegelijkertijd eenzelfde actie ondernam. Hiermee zijn er in een klap meer .nl-domeinnamen gesigned dan in het veel grotere .com top-level domein.
Gepubliceerd op 28-06-2012
"DNSSEC-gebruik zal de komende tijd snel toenemen"
Het aantal DNSSEC-gesigneerde domeinen zal de komende tijd snel toenemen.
Dat zegt Miek Gieben, technisch adviseur bij SIDN, in een interview met ISP Today. Vanaf 15 mei jongstleden kunnen registrars het sleutelmateriaal uploaden via EPP.
Het Extensible Provisioning Protocol is de standaard waarmee registrars elektronisch met SIDN, de beheerder van het .nl top-level domein, communiceren. Gieben beaamt dat DNSSEC een ingewikkeld protocol is, maar tekent daarbij wel aan dat het meeste van die complexiteit al is weggestopt in software. Een pakket als OpenDNSSEC — dat wij zelf ook gebruiken — is bijna een black box die je alleen nog maar hoeft te installeren.
Gepubliceerd op 26-06-2012
DNSSEC "verplicht" voor overheidsorganisaties
DNSSEC is eerder deze maand toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee worden overheidsorganisaties verplicht deze veiligheidsstandaard voor DNS te gebruiken, tenzij zij goede redenen hebben om dat niet te doen.
Eerder deze maand werd DNSSEC door het Forum en College Standaardisatie samen met een paar andere standaarden aan de 'pas toe of leg uit'-lijst toegevoegd. Dat is precies een maand na de landelijke uitrol van deze cryptografische veiligheidsvoorziening voor DNS. Daarmee zijn overheidsorganisaties nu min-of-meer verplicht hun domeinen en systemen met DNSSEC te beveiligen. Naar verwachting zal hierdoor de vraag naar DNSSEC-gesigneerde domeinen in Nederland sterk toenemen.
Gepubliceerd op 22-06-2012
Let op bij registratie en verhuizing van .nl-domeinnamen
Vanaf 15 mei jongstleden kunnen alle .nl-domeinnamen worden voorzien van DNSSEC. Deze cryptografische beveiliging voor de DNS-informatie wordt nu al aangeboden door de negen registrars die als launching partner van SIDN, de beheerder van het .nl top-level domein, fungeren. Maar de mogelijkheid om DNSSEC geautomatiseerd aan hun klanten aan te bieden, staat open voor alle registrars en internet service providers. Bij het aanvragen van een nieuwe domeinnaam of het verhuizen van een bestaande domeinnaam kunt u uw aanbieder vragen naar de ondersteuning van DNSSEC. Dat is met name van belang bij de verhuizing van een DNSSEC-beveiligd domein naar een nieuwe aanbieder.
Gepubliceerd op 16-05-2012
DNSSEC-beveiliging voor .nl-domeinnamen volledig operationeel
Sinds 15 mei jongstleden zijn alle benodigdheden voor de invoering van DNSSEC voor alle registrars beschikbaar. Daarmee biedt SIDN, de beheerder van het .nl top-level domein, alle houders van een .nl-domeinnaam de mogelijkheid hun DNS-informatie cryptografisch te beveiligen. Zo wordt een extra beveiligingslaag aan het bestaande protocol toegevoegd. Houders kunnen direct bij de negen launching partners van SIDN terecht. Maar de mogelijkheid om DNSSEC geautomatiseerd aan hun klanten aan te bieden, staat open voor alle registrars en internet service providers.
Gepubliceerd op 15-05-2012