EURid verbetert beveiliging van .eu domeinen

EURid, de beheerder van het Europese top level domein .eu, heeft deze week de .eu-rootzone getekend met het beveiligingsprotocol DNSSEC.

EURid, de beheerder van het Europese top level domein .eu, heeft deze week de .eu-rootzone getekend met het beveiligingsprotocol DNSSEC. De invoering van de nieuwe beveiligingsstandaard wordt gezien als een belangrijke stap in de strijd tegen phishing.

Een veilig(er) internet is één van de belangrijke thema’s op de Icann Meeting die deze week plaatsvindt in Brussel. Dat de instantie die wereldwijd het domeinnaamsysteem beheert in de komende jaren honderden nieuwe internetextensies wil introduceren, is daar niet vreemd aan. De talrijke workshops rond e-crime en misbruik van het DNS worden aandachtig gevolgd door de honderden aanwezigen, en woensdagmiddag volgt er een speciale persconferentie rond all things DNSSEC.

Sinds beveiligingsexpert Dan Kaminsky ruim twee jaar geleden een ernstig DNS-lek wereldkundig maakte, heet het dat alleen die beveiligingsmethode een min of meer waterdichte oplossing biedt voor de verdediging van de integriteit van het domeinnaamsysteem. Bij de nieuwe internetachtervoegsels die op ons afkomen, zal DNSSEC zelfs verplicht zijn.

“Dat is alvast een goede zaak”, vindt EURid-topman Marc Van Wesemael, want zo kan het protocol in de markt gezet worden. Op dit ogenblik is het nog moeilijk om de registrars (commerciële bedrijfjes die domeinnamen registreren) te overtuigen van het nut van DNSSEC. Vaak zijn ze nog niet bereid om er tijd en geld in te steken. Dat komt voor een stuk vanwege een gebrek aan kennis over het onderwerp.”

DNSSEC introduceert ‘public key algoritmes’ in het domeinnaamsysteem. In mensentaal wil dat zeggen data an elk antwoord dat het DNS-protocol geeft, een soort van digitale handtekening gekoppeld wordt. Kwaadwillenden kunnen de cache niet meer vervuilen en nietsvermoedende surfers naar valse sites leiden, omdat de authenticiteit van de opgevraagde informatie altijd geverifieerd wordt. Internetgebruikers komen in principe dus altijd terecht op de plaats die ze zoeken.

“Ik hoorde onlangs een case waarbij internetgebruikers die naar Facebook surften, op een andere site terechtkwamen omdat de dns-trafiek onderschept werd, en een foutief ip-adres werd ‘teruggegeven'”, klinkt het nog. “Omdat het een rootserver betrof die in China stond, rees het vermoeden dat de Chinese overheid verantwoordelijk was, maar die heeft dat altijd ontkend. Daarom is DNSSEC zo belangrijk. Met dat beveiligingssysteem zou je onmiddellijk merken dat het antwoord van het DNS foutief is.”

Eén en ander heeft wel tot gevolg dat het registratieproces van een domeinnaam ingewikkelder wordt, omdat elke domeinnaam voorzien moet zijn van zo’n ‘digitale sleutel’. De zonefile waarin alle domeinnamen zitten opgeslagen verveelvuldigt met factor zes tot tien. Hiervoor moet het machinepark sterk opgewaardeerd worden, zowel wat processorkracht als intern geheugen betreft.

EURid werkte voor de introductie van DNSSEC nauw samen met vijf geaccrediteerde registrars, zoals Larsen Data Aps uit Denemarken. “Wij zijn alvast blij dat we als één van de eerste registrars de .eu domeinnamen kunnen aanbieden, getekend met DNSSEC”, aldus Peter Larsen van Larsen Data.