Domeinorganisatie ICANN (Internet Corporation for Assigned Names and Numbers) en de Amerikaanse standaardenorganisatie NIST (National Institute of Standards and Technology) laten weten dat het Domain Name System (DNS) nog voor het einde van 2009 geheel overgaat op DNSSEC. De versnelde invoering van die DNS-beveiliging betreft echter een tussenoplossing, meldt de ICANN.

Tijdelijke opzet

VeriSign krijgt hierbij het beheer over en de verantwoordelijkheid voor de hoofdsleutel (Zone Signing Key) die wordt gebruikt om DNSSEC-certificaten te 'ondertekenen'. De ICANN beheert het proces voor het tekenen van de cerfiticaatsleutels.

De twee partijen werken samen aan de operationele kwesties, waaronder ook de gebruikte encryptie. Die opzet is dus nu gekozen om de interim-oplossing er snel door te krijgen. Uiteindelijk kan er een andere opzet komen, waarbij andere partijen ook inspraak, invloed en beheertaken hebben.

Telefoonboek

DNS vervult de functie van telefoonboek voor internet. Het vertaalt de namen van domeinen in de eigenlijke adressen: de ip-nummers van de servers. Dat systeem blijkt echter kwetsbaar voor kwaadwillenden. Het dertig jaar oude DNS stamt namelijk uit een tijd dat er meer vertrouwen was tussen de - veel kleinere groep van - internetpartijen en -beheerders. Het belangrijkste voor DNS was toentertijd schaalbaarheid, niet beveiliging.

DNSSEC voorziet het 'internet-telefoonboek' van digitale handtekeningen voor verificatie van DNS-verzoeken. Die beveiliging voor DNS is zelf ook alweer veertien jaar oud. De relatieve complexiteit ervan heeft implementatie tot op heden in de weg gestaan. Recente beveiligingsontdekkingen, zoals het inmiddels beroemde Kaminsky-lek, hebben de noodzaak van DNSSEC zeer duidelijk gemaakt.

Kaminsky-lek

Het door onderzoeker Dan Kaminsky ontdekte beveiligingsgat is aanwezig in producten van nagenoeg alle ict-leveranciers. Het vormt dan ook een bedreiging voor het hele internet en is bovendien moeilijk te dichten. Kwaadwillenden kunnen via dat gat surfers, maar ook internetapplicaties voor bijvoorbeeld online-bankieren, omleiden naar malafide sites. Die nepsites doorstaan dan wel de keuringen van huidige beveiligingsmechanismes omdat de DNS-communicatie dan is 'gekaapt'. DNSSEC is de oplossing voor de langere termijn.

De invoering van DNSSEC moet een 'keten van vertrouwen' opleveren voor de verbindingen van clientprogramma's (zoals browsers en mailclients) via DNS-servers tot aan de gewenste sites en servers. Daarvoor moeten wel alle elementen in die keten in staat zijn voor DNSSEC.

.org als eerste

Het .org-domein gaat nu als eerste over op DNSSEC. Die overstap, als eerste grote topleveldomein, is vorig jaar zomer aangekondigd en nu in de praktijk begonnen. Dit meldt .org-beheerder PIR (Public Interest Registry) die alle .org-registrars de komende maanden geleidelijk aan betrekt in die overgang. Heel .org moet in 2010 over zijn op DNSSEC.

Begin dit jaar heeft Verisign, aanbieder van beveiligingscertificaten, aangekondigd de .com- en .net-domeinen over te zetten naar DNSSEC. De planning was toen dat dit in 2011 rond moet zijn. De nu onthulde versnellingsplannen van ICANN, NIST en VeriSign brengen dit dus een jaar dichterbij.