Sinds twee weken is het mogelijk om .com-domeinen te beveiligen met behulp van DNS Security Extensions (DNSSEC). Toch heeft nog geen enkele van de honderd populairste websites die bescherming ingeschakeld. Dat blijkt uit onderzoek van Webwerelds Amerikaanse zustersite PC World.

Ook banken beveiligen niet

Dit is opvallend omdat VeriSign, dat de .com extensie beheert, begin 2009 al aankondigde dat de mogelijkheid in 2011 ingeschakeld zou worden. Beheerders van deze websites, waaronder vanzelfsprekend ook giganten als Google en Facebook vallen, hebben dus voldoende voorbereidingstijd gehad om hun domeinnaam te beveiligen.

Ook banken bieden nog geen bescherming met behulp van de uitbreiding van het DNS. De grootste banken met een .com-domein zijn allemaal nog niet beschermd. Uit controle van Webwereld blijkt bovendien dat ook nog geen enkele grote Nederlandse bank zijn domeinnamen met DNSSEC heeft beveiligd.

Minder belangrijk voor Google

Dat is verrassend omdat de beveiliging juist voor banken erg belangrijk is. Door DNSSEC weten hun klanten zeker dat zij ook verbonden zijn met de bank en niet met een oplichter. DNSSEC koppelt via een public en private key namelijk het IP-adres aan een domeinnaam. Verwijst de domeinnaam (op de computer van een gebruiker) ineens naar een ander IP-adres, dan weet de computer met behulp van DNSSEC dat er iets niet in de haak is.

Voor websites als Facebook of Google is dit minder belangrijk. Toch worden ook via die platformen veel persoonlijke gegevens verstuurd en opgeslagen. Hackers hebben er dus wel degelijk profijt van om via vervalsing aan iemands inloggegevens voor één van de andere populaire websites te komen.

Kip-ei verhaal

PC World merkt op dat DNSSEC wel nog een kip-ei verhaal is. Veel DNS-servers zijn namelijk nog niet uitgerust voor de nieuwe techniek. Gebruikers hebben dus nog geen baat bij de extra beschermingslaag. Het zou kunnen dat veel websitebeheerders daarom wachten met het implementeren van DNSSEC totdat de providers hun DNS-servers op orde hebben.

Daarnaast zou het voor grote bedrijven met veel servers ook geen eenvoudige opgave zijn om DNSSEC overal te implementeren. Dat zou bijvoorbeeld opgaan voor Google, dat in een reactie laat weten dat het van mening is dat DNSSEC “erg belangrijk” is.

Via de DNSSEC Debugger van VeriSign is eenvoudig te controleren of een domeinnaam al is voorzien van de beveiliging.