Internet DNS-root eindelijk op DNSSEC
Gepubliceerd: Donderdag 24 juni 2010
Auteur: Andreas Udo de Haes
Nu de root van het DNS-systeem het veiliger DNSSEC ondersteunt, kunnen de toplevel-domeinen volgen, .org is als eerste over.
Vorige week werd de internet root zone 'gesigned' met Domain Name Security Extensions (DNSSEC). VeriSign heeft hierbij tijdelijk het beheer over en de verantwoordelijkheid voor de hoofdsleutel (Zone Signing Key) die wordt gebruikt om DNSSEC-certificaten te 'ondertekenen'. De ICANN beheert het proces voor het tekenen van de cerfiticaatsleutels.
Eerst zou de root al eind 2009 ondertekend worden, maar die operatie is uitgesteld. De ondersteuning van DNSEC in de root maakt de weg vrij voor de toplevel domeinen (TLD's) om nu DNSSEC volledig te implementeren. Als eerste is nu .org over. De beheerder van .org-domeinen, de Public Interest Registry (PIR), begon een kleine twee jaar geleden met testen van DNSSEC.
Kaminsky bug
DNSSEC kwam vooral in beeld nadat Dan Kaminsky in april 2008 een fundamentele zwakte in het DNS-systeem had aangetoond. Technische details daarvan lekten een paar maanden later uit.
DNSSEC is de security extension op DNS, waarmee de gegevens worden voorzien van een handtekening. Die handtekening is nodig omdat DNS servers kwetsbaar zijn voor de Kaminsky-bug, waarmee de caches door criminelen kunnen worden vervuld met verkeerde informatie en zo verkeer omleiden naar malafide websites.
Naar verwachting zullen andere TLD's, waaronder .nl en zijn beheerder SIDN, ook snel DNSSEC implementeren.
