De ondertekening houdt in dat SIDN (Stichting Internet Domeinnamen Nederland) nieuwe records toevoegt aan de .nl-zone, zoals handtekeningen en publieke sleutels. Daardoor kunnen isp’s via DNS-resolvers de authenticiteit en integriteit van de aangeleverde adresgegevens controleren.

Vooralsnog heeft bijna geen enkele isp de DNSSEC-validatie aanstaan, zegt SIDN. Daarnaast moeten registrars nog domeinen gaan aanbieden met DNSSEC. Met beide groepen is SIDN in gesprek, vertelt Markus Travaille, projectmanager DNSSEC bij SIDN. Vorig jaar vertelde hij Techworld nog dat er een aantal operationele en praktische hobbels waren bij de invoering van de DNSSEC.

Verhuisproces is nog probleem

Een deel daarvan is nu opgelost, andere bestaan nog. Zo is het verhuisproces van domeinen nog steeds niet goed mogelijk. Een verhuisbulk (automatische verhuizing van een grote groep domeinen) is niet mogelijk terwijl DNSSEC aanstaat. “We werken hard aan een oplossing en er zijn nu verschillende keuzes. In overleg met de registrars zullen we een richting kiezen”, zegt Travaille.

Het probleem met de sleutels is wel opgelost. Om de sleutels, waarmee een domein wordt getekend, veilig te houden wordt vaak een Hardware Security Module (HSM) gebruikt. Dat is hardware waarin de digitale sleutels op een heel veilige manier zijn opgeslagen. Het probleem was dat het eerder niet duidelijk was of elk domein een eigen sleutel nodig heeft of dat er met een van die sleutels meerdere domeinen kunnen worden ondertekend. Inmiddels is besloten dat dat laatste het geval zal zijn.

Niet alle .nl-domeinen

Travaille verwacht niet dat alle 4 miljoen .nl-domeinen op DNSSEC over zullen gaan. De extra validatie van gegevens is vooral bedoeld voor het tegengaan van technieken als cache-poisening, waarbij valse DNS-informatie wordt geplaatst in de cache van een DNS-server. Hierdoor kunnen mensen die bijvoorbeeld internetbankieren worden omgeleid naar nagemaakte sites van banken. Die nepsites draaien dan schijnbaar op het daadwerkelijke (maar dus vervalste) adres van de bank.

Toch zal het niet storm lopen op domeinen met DNSSEC, verwacht Travaille. “De vraag ernaar is nog niet zo groot.” Daardoor ontstaat er wel een kip-ei-probleem, zegt hij. “De vier grote isp’s in Nederland hebben DNSSEC nog niet aanstaan omdat die vraag er nog niet is. En die vraag zal pas groeien als de isp’s verkeer met DNSSEC mogelijk maken.” Ook met de isp’s is SIDN in gesprek over de verdere implementatie.

Handmatige verhuizing

SIDN zegt in ieder geval gewoon verder te gaan met de volgende stappen. Over enkele weken gaat SIDN met een aantal domeinnaamhouders, die al ervaring hebben opgedaan met DNSSEC, een beperkt aantal domeinen naar de beveiligde nl-zone plaatsen. Dat gebeurt in het zogeheten ‘Friends & Fans’-programma. De verhuizing gebeurt handmatig, vertelt Travaille.

Pas volgend jaar denkt SIDN een geautomatiseerde grootschaliger uitrol van DNSSEC te kunnen doen. Wel wordt dat stapsgewijs gedaan om "de beschikbaarheid van de .nl-zone te garanderen".

“We willen zoveel mogelijk fouten voorkomen”, zegt Travaille. “Ïk verwacht pas echt problemen met het verhuisproces als er heel veel aanvragen komen, maar zoals gezegd, de belangstelling is niet zo groot.”

Kaminsky-lek

Na .org is .nl de grootste zone waarvoor tot op heden DNSSEC is ingevoerd. De beveiligingsextensie voor het 'internetadresboek' wordt noodzakelijk geacht sinds beveiligingsonderzoeker Dan Kaminsky in april 2008 een fundamenteel lek in DNS ontdekte.

Bron: Techworld