Toen beveiligingsonderzoeker Dan Kaminsky in 2008 aantoonde dat DNS kwetsbaar is voor aanvallen, raadde hij aan om naar DNSSEC over te stappen. Deze uitbreiding op DNS voorkomt aanvallen doordat websites de domeinnamen en corresponderende IP-adressen kunnen verifiëren met behulp van handtekeningen en publieke sleutels.

Lastig te beheren

Het probleem met DNSSEC is dat het over heel internet uitgerold moet worden voor het effectief is, en dat het beheer van de publieke sleutels nogal lastig is. De ontwikkelaars van OpenDNSSEC kondigden vorig jaar aan om daar iets aan te willen doen met hun open source software, dat heel wat handmatige taken van het sleutelbeheer automatiseert en zo de verspreiding van DNSSEC moet versnellen. Achter het project staan grote namen zoals .SE, NLNetlabs, Nominet, Kirei, SURFnet en SIDN.

Prestatieverbeteringen

Ondertussen is versie 1.0.0 van OpenDNSSEC uitgebracht. Als het eenmaal is opgezet, vereist het programma geen handmatige interventie. Er zijn nog wel een aantal problemen: zo is het programma volgens de makers nog te traag bij het afhandelen van een groot aantal zones.

Volgens het release plan kunnen we dit jaar nog heel wat verbeteringen verwachten. De performance voor grote zones en een groot aantal zones zal in versie 1.1 aangepakt worden, evenals verschillende niveaus van auditing en een configureerbaar auditing programma. In versie 1.2 komt onder andere een betere afhandeling van gedeelde sleutels. Op langere termijn is er ook een webinterface gepland.

OpenDNSSEC werkt op alle Unix-achtige besturingssystemen en is getest op Debian GNU/Linux 5.0, Mac OS X 10.5, OpenBSD 4.4, Red Hat Enteprise Linux 5, Solaris 10 en Ubuntu 8.04. Het programma heeft een BSD-licentie die toelaat om het in commerciële producten te verwerken. Bron: Techworld