Oorspronkelijk zou root eind dit jaar nog overgaan, maar dat wordt niet gehaald. Volgens de presentatie die Joe Albley van ICANN en Matt Larson van VeriSign gisteren op RIPE 59 in Lissabon hebben gegeven, zal de rootzone wel ondertekend zijn in december 2009, maar blijft de getekende zone nog intern bij ICANN en Vrisign. Tussen januari en juli wordt het vervolgens uitgerold. 1 juli moet DNSSEC dan helemaal operationeel zijn.

Man-in-the-middle

DNSSEC is de security extension op DNS, waarmee de gegevens worden voorzien van een handtekening. Die handtekening is nodig omdat DNS servers kwetsbaar zijn voor de Kaminsky-aanval, waarmee de caches door criminelen kunnen worden vervuld met verkeerde informatie. Ze kunnen gebruikers daarna leiden naar malafide websites, of het verkeer ongemerkt omleiden via hun eigen servers, waar ze vervolgens als een man-in-the-middle e-mails kunnen afvangen, VoIP gesprekken kunnen afluisteren en wachtwoorden achterhalen.

Er zijn maar een handvol van deze aanvallen bekend. Maar ze zijn erg moeilijk te detecteren, dus is het goed mogelijk dat dat slechts het topje van de ijsberg is. DNSSEC wordt gezien als het enige definitieve antwoord op deze cache poisoning. De handtekeningen van DNSSEC worden gecontroleerd met behulp van publieke sleutels, zodat altijd zeker is dat de juiste informatie overkomt.

.nl zone nog niet getekend

.gov en .org zijn de rootzone al voorgegaan. .nl is nog niet getekend. Olaf Kolkman van NLnet vindt eigenlijk dat de .nl zone getekend zou moeten zijn als root getekend wordt. Maar SIDN, de organisatie die verantwoordelijk is voor de .nl zone, is daar erg voorzichtig mee. Er zijn nog problemen met de inzet van DNSSEC die eerst moeten worden opgelost, zoals het verhuizen van getekende domeinnamen. SURFnet is er aan de andere kant helemaal klaar voor. Zij vinden dan ook de Kaminsky-aanval de grootste bedreiging voor de integriteit van de data van hun klanten.

Bron: Techworld