Een woordvoerder van SIDN bevestigt de problemen, maar de oorzaak is nog onbekend. Een Webwereld-lezer meldt: “Sinds vanmorgen geeft een controle op het domein sidn.nl aan dat zowel IPv6 als DNSSEC foutief geconfigureerd is of niet reageert". Hij ontdekte dit doordat zijn werkgever nu bezig is IPv6 en DNSSEC in te zetten. Daarvoor gebruikt hij de tools van SIDN (Stichting Internet Domeinregistratie Nederland) zelf.

Foutmeldingen

Een controle op de website van de domeinbeheerder levert echter foutmeldingen op. De IPv6 ns1-nameserver van SIDN geeft geen antwoord op verzoeken via UDP (user datagram protocol) en TCP (transmission control protocol).

Ook ontbreken de vereiste algoritmes voor DNSKEY, het bestand dat de encryptiesleutels bevat voor de beveiligde variant van internetadresboek DNS (domain name system). DNS-servers zetten namen van websites om in de eigenlijke adressen: de ip-nummers.

Verder blijken de digitale handtekeningen voor DNSSEC niet overeen te komen met de DNS-records die daarmee worden ondertekend. “Key 1: keytag does not match key 2: Algoritm 8 has not yet been implemented", luidt een van de foutmeldingen. Een andere respons van sidn.nl is dat er onvoldoende valide digitale handtekeningen zijn aangetroffen voor dat domein. Een van de handtekeningen verloopt op vrijdag 26 augustus.

Onderhoud gepleegd

“Dit is ons bekend", antwoordt de woorvoerder van SIDN. Het probleem speelt sinds dinsdag en de oorzaak is nog onbekend. Er is dinsdag wel wat aan onderhoud verricht, vertelt hij, maar het is niet zeker of dat gerelateerd is. De technische mensen van SIDN zijn bezig met de IPv6- en DNSSEC-problemen.

Update:

Een Webwereld-lezer twittert dat het om een fout gaat in een online-tool om DNSSEC te controleren. Het zou dan geen fout van SIDN zijn. Vragen van Webwereld om meer details hierover zijn uitgezet.

Update2:

Ook Roland van Rijswijk, technical product manager bij SURFnet, stelt dat het om een fout in SIDN's online-checker gaat. Waarom die fout dan nu ineens opduikt, is nog onduidelijk.

Update3:

Van Rijswijk vertelt Webwereld dat de tool die SIDN aanbiedt, verouderd is. Het "ondersteunt niet alle DNSSEC-algoritmen". Hij raadt versie 1.2 van IIS (dnscheck.iis.se) aan, die online-controletool "werkt wel".

Update4:

Twitteraar @pletterpet, een alias van OpenDNSSEC-expert Matthijs Mekking, antwoordt op vragen van Webwereld dat er geen DNSKEYs ontbreken, omdat hij dat anders zou hebben ervaren op eigen .nl-domeinen.

"Daarna heb ik gezien dat de foutmeldingen van de checkertool vandaan kwamen." Die oudere versie van de tool ondersteunt algoritme 8 niet, aldus Mekking. Hij stelt dat de zaak dus wel meevalt, hoewel hij zelf aangeeft niet te hebben gekeken naar de IPv6-problemen. Dat hebben enkele andere Webwereld-lezers wel gedaan (zie de comments onder dit artikel) en zij bevestigen dat daar bij SIDN iets fout is gegaan.

Update5:

Technisch adviseur Marco Davids van SIDN meldt via Twitter dat de IPv6-problemen te wijten waren aan onderhoud van SIDN's nameserver en niet gerelateerd waren aan de website van de .nl-domeinbeheerder.

Intro aangepast om de twee (gescheiden) problemen van SIDN duidelijker weer te geven. Met dank aan diverse Webwereld-lezers (via Twitter, mail en comments).