DNSSEC: Liever zorgvuldig dan snel
Gepubliceerd: Donderdag 10 september 2009
Auteur: Sander van der Meijs
Bij SIDN zijn ze ervan doordrongen dat internet veiliger moet worden. DNSSEC, de beveiligingsextensie op DNS, staat dan ook hoog op het prioriteitenlijstje, maar de implementatie ervan mag niet ten koste gaan van de stabiliteit.
Een jaar nadat Kaminsky heeft aangetoond hoe groot het lek in DNS wel niet is, wordt er hard gewerkt aan de implementatie van DNSSEC. Alleen is de kennis over DNSSEC voorlopig nog erg beperkt. Na NLnet Labs en SURFnet, sprak Techworld hierover met een vertegenwoordiger van SIDN, de beheerder van de .nl zone.
Olaf Kolkman van NLnet Labs had graag gezien dat de .nl zone met DNSSEC getekend wordt voordat DNSSEC in root wordt ingevoerd. Maar voor SIDN liggen de prioriteiten duidelijk anders. Markus Travaille, projectmanager DNSSEC van SIDN, maakt tegenover Techworld duidelijk dat SIDN niet zozeer op de snelheid is gefocust, maar op de zorgvuldigheid. "Als het snel kan, dan is dat helemaal niet erg, maar het belangrijkste is dat het goed gebeurt", zegt hij.
Volgens Travaille is tot nu toe alleen maar geroepen hoe goed DNSSEC is. "Dat is het ook hoor, daar gaat het niet om, maar er zitten praktische kanten aan waarvan wij vinden dat die eerst goed moeten worden uitgezocht. Iedereen gebruikt DNS en het zit overal in. De implementatie van DNSSEC zou betekenen dat de communicatie fundamenteel verandert. Een te snelle implementatie zou kunnen leiden tot storingen in de werking van DNS."
Geautomatiseerde beheerprocessen
Bij SIDN zien ze een aantal operationele en praktische hobbels die een snelle implementatie van DNSSEC in de weg staan. Die moeten eerst worden opgelost voordat ze overgaan tot implementeren. In de eerste plaats moeten bepaalde processen beter worden geautomatiseerd. "Als wij .nl gaan tekenen, dan komen daar heel veel extra beheerprocessen bij kijken en de kans op fouten wordt dan ook groter. Wij willen eigenlijk dat zulke zaken goed geautomatiseerd kunnen verlopen middels betrouwbare en bij voorkeur open source software."
Concreet gaat het bijvoorbeeld om het beheren van de sleutels. "Dat zit hem vooral in het automatiseren ven de key generation, key rollovers, key management en beheertooling om je zone in de gaten te houden", zegt Travaille. SIDN is daarom in het OpenDNSSEC.org project gestapt. "Daar investeren wij geld, tijd en mensen in", aldus Travaille. "Als registry werken we aan requirements, dus waar zou zulke software aan moeten voldoen, hoe moet het er uitzien, hoe moet het werken, wat moet het kunnen. En we leveren een bijdrage aan het testen. Wij gaan die software serieus aan de tand voelen." Voor SIDN heeft dat werk als doel dat ze het zelf uiteindelijk gaan gebruiken. Alleen moet de software daarvoor nog veel verder ontwikkeld worden.
Praktische problemen
De implementatie van DNSSEC hangt niet alleen af van OpenDNSSEC. Volgens Travaille wordt DNS door DNSSEC minder flexibel en ook minder fout-tolerant. "Dat zijn zaken waarvan wij vinden dat we daar goed naar moeten kijken", stelt hij. "In onze missie staat dat we voor een veilig internet moeten zorgen, maar ook voor een stabiel. En als er door DNSSEC te implementeren meer storingen ontstaan, dan zijn we niet blij."
Dan is er nog het verhuisprobleem. Op dit moment is het volgens Travaille niet mogelijk om een domein dat getekend is over te dragen zonder de medewerking van de latende registrar. "Dat is een probleem dat moet worden opgelost", zegt hij.
