Internetbedrijf VeriSign schakelt over op DNSSEC voor zijn topleveldomeinen. Dat zijn de .com- en .net-domeinen. VeriSign beheert die domeinen en biedt ook DNS-diensten (Domain Name Service). Het bedrijf staat aan de basis van de internet-infrastructuur. Die onderlaag is vorig jaar juist hard getroffen door de ontdekking van een ernstig beveiligingsgat in DNS. Dat basissysteem zorgt voor de omzetting van domeinnamen in de eigenlijke ip-adressen.

Noodoplossing

Beveiligingsexpert Dan Kaminsky ontdekte het gat dat breed aanwezig is in DNS-systemen. Diverse ict-leveranciers hebben hun producten aangepast en patches uitgebracht. Daarna heeft de installatie van die patches nog tijd gekost.

Volgens Kaminsky hebben we nu echter maar een noodoplossing.

DNS zelf voldoet niet meer. DNSSEC (DNS Security Extensions) zou de uiteindelijke oplossing moeten zijn. Sommige experts zijn het daar echter niet mee eens. De Nederlandse DNS-expert Bert Hubert vindt DNSSEC te complex, te zwaar om in te voeren en bovendien storingsgevoelig. Hubert is ontwikkelaar van PowerDNS, ook een systeem om DNS te beveiligen.

Landen, .gov en .org

Velen zien echter wel heil in DNSSEC. Topleveldomeinen voor landen als Zweden, Brazilië, Bulgarij, Tsjechë en Puerto Rico zijn al overgestapt. SIDN ( Stichting Internet Domeinregistratie Nederland) zet .nl-domeinen in de loop van dit jaar over. Daarnaast stelt de overheid van de Verenigde Staten DNSSEC verplicht voor de eigen organisatie en instanties. Dit moet eind dit jaar rond zijn.

VeriSign doet er iets langer over: Het trekt twee jaar hiervoor uit. Naar verwachting zal .com als laatste over zijn op DNSSEC. De oorzaak daarvoor is de grote hoeveelheid sites in dat topleveldomein. Experts schatten dat er 70 miljoen .com-sites zijn. Volgens VeriSign zijn .com en .net samen goed voor 90,4 miljoen geregistreerde domeinnamen.