Een jaar nadat Kaminsky heeft aangetoond hoe groot het lek in DNS wel niet is, wordt er hard gewerkt aan de implementatie van DNSSEC. Alleen is de kennis over DNSSEC voorlopig nog erg beperkt. Na NLnet Labs en SURFnet, sprak Techworld hierover met een vertegenwoordiger van SIDN, de beheerder van de .nl zone.

Olaf Kolkman van NLnet Labs had graag gezien dat de .nl zone met DNSSEC getekend wordt voordat DNSSEC in root wordt ingevoerd. Maar voor SIDN liggen de prioriteiten duidelijk anders. Markus Travaille, projectmanager DNSSEC van SIDN, maakt tegenover Techworld duidelijk dat SIDN niet zozeer op de snelheid is gefocust, maar op de zorgvuldigheid. “Als het snel kan, dan is dat helemaal niet erg, maar het belangrijkste is dat het goed gebeurt”, zegt hij.

Volgens Travaille is tot nu toe alleen maar geroepen hoe goed DNSSEC is. “Dat is het ook hoor, daar gaat het niet om, maar er zitten praktische kanten aan waarvan wij vinden dat die eerst goed moeten worden uitgezocht. Iedereen gebruikt DNS en het zit overal in. De implementatie van DNSSEC zou betekenen dat de communicatie fundamenteel verandert. Een te snelle implementatie zou kunnen leiden tot storingen in de werking van DNS.”

Geautomatiseerde beheerprocessen

Bij SIDN zien ze een aantal operationele en praktische hobbels die een snelle implementatie van DNSSEC in de weg staan. Die moeten eerst worden opgelost voordat ze overgaan tot implementeren. In de eerste plaats moeten bepaalde processen beter worden geautomatiseerd. “Als wij .nl gaan tekenen, dan komen daar heel veel extra beheerprocessen bij kijken en de kans op fouten wordt dan ook groter. Wij willen eigenlijk dat zulke zaken goed geautomatiseerd kunnen verlopen middels betrouwbare en bij voorkeur open source software.”

Concreet gaat het bijvoorbeeld om het beheren van de sleutels. “Dat zit hem vooral in het automatiseren ven de key generation, key rollovers, key management en beheertooling om je zone in de gaten te houden”, zegt Travaille. SIDN is daarom in het OpenDNSSEC.org project gestapt. “Daar investeren wij geld, tijd en mensen in”, aldus Travaille. “Als registry werken we aan requirements, dus waar zou zulke software aan moeten voldoen, hoe moet het er uitzien, hoe moet het werken, wat moet het kunnen. En we leveren een bijdrage aan het testen. Wij gaan die software serieus aan de tand voelen.” Voor SIDN heeft dat werk als doel dat ze het zelf uiteindelijk gaan gebruiken. Alleen moet de software daarvoor nog veel verder ontwikkeld worden.

Praktische problemen

De implementatie van DNSSEC hangt niet alleen af van OpenDNSSEC. Volgens Travaille wordt DNS door DNSSEC minder flexibel en ook minder fout-tolerant. “Dat zijn zaken waarvan wij vinden dat we daar goed naar moeten kijken”, stelt hij. “In onze missie staat dat we voor een veilig internet moeten zorgen, maar ook voor een stabiel. En als er door DNSSEC te implementeren meer storingen ontstaan, dan zijn we niet blij.”

Dan is er nog het verhuisprobleem. Op dit moment is het volgens Travaille niet mogelijk om een domein dat getekend is over te dragen zonder de medewerking van de latende registrar. “Dat is een probleem dat moet worden opgelost”, zegt hij.

Weer een ander praktisch probleem dat Travaille noemt gaat over de sleutels. De sleutels waarmee je een domein tekent wil je natuurlijk veilig houden. Vaak worden daar technisch gezien HSM's voor gebruikt”, vertelt Travaille. “Dat zijn hardwaredozen waar je een sleutel in hebt zitten waar die echt niet uit kan. Zo'n HSM kan maar een x aantal sleutels bevatten, 10 bijvoorbeeld. Stel nu dat ik een registrar ben en ik heb 100.000 domeinen in beheer. Mag ik dan met 10 sleutels al mijn domeinen tekenen of moet ik per domein een sleutel hebben? Dat zijn zaken die nogal wat impact hebben op de kosten van een registrar. Praktisch gezien moeten we daar wel een oplossing voor vinden, want ik kan me niet voorstellen dat zo'n registrar 10.000 HSM's gaat aanschaffen á 10.000 euro per stuk. Dan wordt het nogal duur.”

Bij SIDN gaan ze er overigens niet vanuit dat alle domeinen getekend gaan worden. “De ene site is gewoon belangrijker dan de andere. Veel van de persoonlijke sites zullen bijvoorbeeld niet van een handtekening worden voorzien, maar een site van een bank is natuurlijk veel belangrijker om met DNSSEC te beveiligen. Je zult zien dat daar wel een onderscheid in gaat ontstaan”, aldus Travaille. “Maar dat neemt niet weg dat een registrar over veel getekende domeinen kan beschikken en dan heb je dus op dit terrein een probleem met de sleutels.”

Kwaliteit van de implementatie

SIDN ziet dus nog veel problemen waarvoor een oplossing moet worden bedacht en dus kiezen ze voor een gefaseerde aanpak. “Dat heeft ook met het belang van de .nl zone te maken”, zegt Travaille. “We gaan niet zomaar met technologie aan de slag die niet bewezen is. We vinden wel dat het moet gebeuren en we streven er wel naar om DNSSEC te implementeren, maar we kunnen niet zeggen wanneer en hoe. We vinden de zorgvuldigheid belangrijker dan het tempo.”

Net als Olaf Kolkman beaamt Travaille dat DNSSEC lang in het protocolstadium en het labstadium is gebleven. “Nu pas wordt er aandacht besteed aan operationele vraagstukken. Daar zijn wij wel blij mee. We hebben al een tijdje geleden onze zorgen op dit terrein geuit en toen kregen we nog te horen dat we het gewoon moesten doen. De laatste maanden zien we dat steeds meer mensen zich zorgen beginnen te maken. Dat vinden wij een goede ontwikkeling, want dat betekent dat er meer mensen nu echt aan het nadenken zijn over wat DNSSEC nou betekent. Dat komt de kwaliteit van een implementatie alleen maar ten goede en daar gaat het uiteindelijk toch om.”

Bron: Techworld