Startschot DNSSEC: De wereld is er klaar voor

Zittend aan een enorme tafel, staren twee mannen me aan met een triomfantelijke blik in hun ogen. Het zijn Chris Buijs, manager core network services bij netwerkspecialist AXIANS en Cricket Liu, vice president of architecture bij Infoblox en regelrechte authoriteit op het gebied van DNS.

Hup Holland Hup!

Liu begint vrijwel direct over het feit dat hij zo blij is met de Nederlanders. Het .nl domein is dan misschien nog niet gesigneerd met DNSSEC, tot een maand na het signeren van de root, maar Nederlandse organisaties paraderen al tijden aan het voorfront van DNSSEC, zegt Liu met een twinkeling in zijn ogen. Het is me duidelijk dat dit twee mannen zijn die lang met dit project bezig zijn geweest en dat ze trots zijn dat het eindelijk in de afrondende fase is beland.

De Nederlandse contributies waar Cricket het over heeft, zijn twee van de leidende nameservers van DNSSEC. Die zijn voor een groot gedeelte ontwikkeld door Nederlandse organisaties. Unbound bijvoorbeeld is een recursive nameserver met extensieve DNSSEC support, waaraan NLnetlabs veel heeft bijgedragen.

Hèt moment

Liu vervolgt dat de stap die nu genomen gaat worden toch echt wel hèt moment is waar ze al tijden op zitten te wachten en dat wanneer de root daadwerkelijk gesigneerd is, DNSSEC pas echt zijn intrede kan gaan doen.

Toch is er ook daarna nog veel werk te verrichten. Zo moeten de subzones zoals .nl nog gesigneerd worden. Dat moet als eerste gebeuren om DNSSEC helemaal door te kunnen voeren. Verder moeten de mensen die binnen organisaties verantwoordelijk zijn voor DNS ook hun subzones weer signeren en ISP's moeten de DNSSEC gesigneerde data gaan (en kunnen) valideren. Het kan nog een tijdje duren voordat alles via DNSSEC gaat, maar de keuzevrijheid om DNSSEC in je bedrijf te gebruiken is er straks in ieder geval en dat is maar goed ook, volgens Liu.