DNSSEC voor .be ten vroegste eind dit jaar

DNSSEC, het beveiligingsprotocol voor top level domeinen (tld’s, zoals .be, .eu), komt eraan voor .be. “Ten vroegste eind dit jaar”, zegt DNS BE-directeur Marc Van Wesemael. Daarmee zou België bij de eersten zijn.

DNSSEC, het beveiligingsprotocol voor top level domeinen (tld’s, zoals .be, .eu), komt eraan voor .be. “Ten vroegste eind dit jaar”, zegt DNS BE-directeur Marc Van Wesemael. Daarmee zou België bij de eersten zijn.

We [schreven het eerder al op onze website], DNS BE hamert de komende maanden onder meer op security. De beheerder van het .be-domeinnaam heeft zich geëngageerd om de het securityprotocol DNSSEC (DNS security extensions) zo snel mogelijk in ons land in te voeren. Dat stelde Marc Van Wesemael, directeur van DNS BE, op een bijeenkomst voor agenten.

DNSSEC zorgt ervoor dat je de informatie die van de nameserver komt, kan vertrouwen omdat die versleuteld is. Het is maar één manier om bepaalde misbruiken uit te schakelen of te bemoeilijken. In het bijzonder gaat het over ‘man-in-the-middle attacks’, waarbij cybercriminelen surfers omleiden naar nepsites middels DNS cachevervuiling (cfr. de [ontdekking van Dan Kaminsky] vorig jaar)

DNS BE is het protocol volop aan het testen, maar merkt toch een aantal moeilijkheden. Zo wordt de zonefile een pak groter met die extra ‘sleutels’. Ook duikt het probleem van ‘zonewalking’ op: DNSSEC maakt bepaalde informatie openbaar die dat anders niet was, wat op zich weer een securitygat kan vormen (bijvoorbeeld voor spammers). “Dat wordt opgelost met NSEC3, maar niemand heeft daarin vooralsnog expertise, behalve .org”, aldus Van Wesemael. Tenslotte was DNS BE een van de eerste registry’s om dynamic updates mogelijk te maken. Dat is een manier om quasi live aanpassingen op een DNS-server te doen. Precies dat zou niet meer mogelijk zijn met DNSSEC en moet dus eerst opgelost worden.

“Als we al die issues hebben overwonnen en getest, roepen we onze agenten samen om hen meer concrete toelichtingen te geven op een infosessie”, stelt Van Wesemael. “Dat zal in herfst zijn, waarschijnlijk november. We laten onze agenten dan de timing bepalen om DNSSEC ook bij hen in te voeren. Zeer optimistisch gesteld, verwacht ik dat we eind dit jaar met de implementatie gestart zullen zijn.”