Eenvoudige beveiliging van .eu-domeinnamen

Nieuwe service ondertekent domeinnamen automatisch met DNSSEC.

EURid, de beheerder van het Europese top level domein .eu, heeft een toepassing gelanceerd die het ondertekenen en beheren van .eu-domeinnamen met het internetbeveiligingsprotocol DNSSEC sterk vereenvoudigt. De ‘DNSSEC Signing Service’ die de Europese domeinbeheerder aanbiedt, is een cloudgebaseerde dienst die de .eu-domeinnamen automatisch ondertekent met het beveiligingsprotocol, en ook voorziet in een regelmatige ‘herberekening’ van de sleutels. Eén en ander zou een groot deel van de complexiteit en het administratieve werk dat vaak met de implementatie van het DNSSEC-protocol geassocieerd wordt, moeten opvangen.

“Dankzij de DNSSEC Signing Service kunnen onze registrars op eenvoudige wijze een verhoogde veiligheid bieden aan hun .eu-klanten”, zegt algemeen directeur Marc Van Wesemael van EURid. “Bovendien hopen we dat een groter aantal registrars DNSSEC zal implementeren.”

Volgens cto van EURid Peter Janssen is het daar dat het schoentje knelt. “Registrars kunnen de kosten die gepaard gaan met de introductie van DNSSEC, vaak niet dragen”, vertelde hij een tijdje geleden aan Data News. “In die zin zijn ze vragende partij voor een dienst die hen het leven vergemakkelijkt.”

Sleutels DNSSEC introduceert ‘public key algoritmes’ in het domeinnaamsysteem. In mensentaal wil dat zeggen dat aan elk antwoord dat het domeinnaamsysteem geeft, een soort van digitale ‘sleutel’ gekoppeld wordt.

Kwaadwillenden kunnen de cache niet meer vervuilen en nietsvermoedende surfers naar valse sites leiden, omdat de authenticiteit van de opgevraagde informatie altijd geverifieerd wordt. Internetgebruikers komen in principe dus altijd terecht op de plaats die ze zoeken.

Om helemaal waterdicht te zijn, moet de keten echter volledig gesloten zijn. Met andere woorden moeten alle schakels in het registratieproces voor een domeinnaam getekend worden met zo’n digitale sleutel.

EURid was één van de eerste spelers in de markt die DNSSEC over alle schakels in het registratieproces kon aanbieden (de .eu rootzone werd op 15 juli 2010 getekend), maar als een groot deel van de agenten niet mee is, en de eindgebruiker niet op de hoogte, dan heeft het weinig zin.

“Je merkt dat de meeste registries intussen in dezelfde richting aan het denken zijn”, aldus nog Janssen. “Allemaal willen ze diensten opzetten (rond het tekenen met en het herbereken van de DNSSEC-sleutels) die de adoptie van het beveiligingsmechanisme versnellen. Toen we ons idee voor het eerst bekend maakten in beperkte kring, hoorden we van collega’s zoals SIDN (.nl) dat hun agenten hen vroegen om met iets gelijkaardigs op de proppen te komen.”

Janssen maakt zich ook sterk dat EURid geen business afsnoept van de registrars die wél mee zijn met DNSSEC. “We zitten misschien wel een beetje in het vaarwater van commerciële bedrijven die speciale DNSSEC-diensten aanbieden, maar anderzijds is ons aanbod natuurlijk enkel geldig voor .eu domeinnamen.”

De kosten voor de nieuwe dienst worden mee opgenomen in de standaardprijs voor een .eu-domeinnaam (lees: de dienst is gratis), al blijft de signing service optioneel. “VeriSign (het bedrijf achter .com) vraagt twee dollar voor de domeinnamen die het niet zelf beheert, en biedt de dienst gratis aan voor de domeinnamen die wel in eigen beheer zijn”, aldus nog de technical manager. “Er zullen nog wel businessmodellen volgen hoor, maar ik denk dat de meeste registries het gratis zullen aanbieden voor de eigen zone.”