Eurid test beveiligingsmethode DNSSEC

Eurid, de beheerder van het Europese top level domein .eu, gaat binnen enkele dagen van start met een testproject rond de beveiligingsmethode DNSSEC. De invoering van het nieuwe beveiligingsprotocol wordt gezien als een belangrijke stap in de strijd tegen phishing.

Eurid, de beheerder van het Europese top level domein .eu, gaat binnen enkele dagen van start met een testproject rond de beveiligingsmethode DNSSEC. De invoering van het nieuwe beveiligingsprotocol wordt gezien als een belangrijke stap in de strijd tegen phishing.

Een veilig(er) internet is één van de belangrijke thema’s op de Icann meeting die deze week plaatsvindt in Seoul. Dat de instantie die wereldwijd het domeinnaamsysteem beheert in de komende jaren honderden nieuwe suffixen wil introduceren, is daar niet vreemd aan. De talrijke workshops rond e-crime en misbruik van het DNS worden aandachtig gevolgd door de honderden aanwezigen.

Eén van de hot topics daarbij is de invoering van het beveiligingsprotocol DNSSEC (DNS Security Extensions) voor top level domeinen. Sinds beveiligingsexpert Dan Kaminsky vorig jaar een ernstig DNS-lek wereldkundig maakte, heet het dat alleen die nieuwe beveiligingsmethode een min of meer waterdichte oplossing biedt voor de verdediging van de integriteit van het domeinnaamsysteem. Bij de nieuwe internetachtervoegsels die op ons af komen, zal DNSSEC zelfs verplicht zijn.

“Dat is alvast een goede zaak”, vindt Eurid-topman Marc Van Wesemael, “want zo kan het protocol in de markt gezet worden. Op dit ogenblik is het nog moeilijk om de registrars (commerciële bedrijfjes die domeinnamen registreren) te overtuigen van het nut van DNSSEC. Ze zijn vaak nog niet bereid om er extra tijd en geld in te steken. Dat komt voor een stuk vanwege een gebrek aan kennis over het onderwerp.”

DNSSEC introduceert ‘public key algoritmes’ in het domeinnaamsysteem. In mensentaal wil dat zeggen dat aan elk antwoord dat het DNS-protocol geeft, een soort van digitale handtekening gekoppeld wordt. Kwaadwillenden kunnen de cache niet meer vervuilen en nietsvermoedende surfers naar valse sites leiden, omdat de authenticiteit van de opgevraagde informatie altijd geverifieerd wordt. Internetgebruikers komen in principe dus altijd terecht op de plaats die ze zoeken.

Eén en ander heeft tot gevolg dat het registratieproces van een domeinnaam ingewikkelder wordt, omdat elke domeinnaam voorzien moet zijn van zo’n digitale sleutel. Daarnaast verveelvoudigt de zonefile (6 tot 10 keer) waarin alle domeinnamen zitten opgeslagen, want al die handtekeningen komen er natuurlijk bij. Voor een land zoals Duitsland, met meer dan 13 miljoen domeinnamen, is dat alles behalve evident.

“Tijdens de testfase willen we ook nagaan hoe het loopt met de performance”, aldus nog Van Wesemael. “Allemaal goed dat je een getekend antwoord terugkrijgt, maar dat moet ook nog ontsleuteld worden, en dat kost tijd. Het proces zal met andere woorden een stukje trager verlopen, wat tot gevolg zal hebben dat registrars, maar ook uitbaters van TLD’s en ISP’s krachtigere hardware zullen moeten gebruiken.”

“We verwachten dat de test begin volgend jaar zijn beloop zal kennen”, besluit de algemeen directeur. “Dan kunnen we meteen ook een datum vastpinnen waarop we echt van start gaan.”