DNS.be tekent .be rootzone met DNSSEC

Frederik Tibau expert Digital Innovation & Growth bij Agoria

De Belgische domeinbeheerder DNS.be tekent deze week de .be-rootzone met het beveiligingsprotocol DNSSEC. De invoering van deze nieuwe beveiligingsstandaard wordt gezien als een belangrijke stap in de strijd tegen phishing. “Maar als de agenten niet meewillen, dan heeft het geen zin”, zegt algemeen directeur Philip Du Bois van DNS.be.

De Belgische domeinbeheerder DNS.be tekent deze week de .be-rootzone met het beveiligingsprotocol DNSSEC. De invoering van deze nieuwe beveiligingsstandaard wordt gezien als een belangrijke stap in de strijd tegen phishing.

Sinds beveiligingsexpert Dan Kaminsky ruim twee jaar geleden een ernstig DNS-lek wereldkundig maakte, heet het dat alleen DNSSEC een min of meer waterdichte oplossing biedt voor de verdediging van de integriteit het domeinnaamsysteem. Bij de nieuwe internetextensies die binnen afzienbare tijd op ons afkomen, zal DNSSEC zelfs verplicht zijn.

Die nieuwe beveiligingsstandaard introduceert ‘public key algoritmes’ in het domeinnaamsysteem. In mensentaal wil dat zeggen dat aan elk antwoord dat het DNS geeft, een soort van digitale ‘handtekening’ gekoppeld wordt. Kwaadwillenden kunnen de cache niet meer vervuilen en nietsvermoedende surfers naar valse sites leiden, omdat de authenticiteit van de opgevraagde informatie altijd geverifieerd wordt. Internetgebruikers komen in principe dus altijd terecht op de plaats die ze zoeken.

Eindgebruikers die een met DNSSEC beveiligde .be-domeinnaam willen registreren, blijven wel nog even op hun honger. “Momenteel tekenen we de eigen nameserverinfrastructuur, al hebben we ook een testplatform opgeleverd voor onze agenten”, aldus algemeen directeur van DNS.be, Philip Du Bois.

Later op het jaar, waarschijnlijk tegen eind september, zullen ook de eindgebruikers voor een beveiligde .be domeinnaam kunnen gaan. “Tegen dan hebben wij ons registratiesysteem volledig geüpdate, en kunnen ook onze agenten DNSSEC aanbieden. Met die gefaseerde aanpak volgen we trouwens het voorbeeld van Nederland.”

Investeringen
Omdat elke domeinnaam voorzien moet zijn van een ‘digitale sleutel’, wordt het registratieproces een stuk ingewikkelder. “Wij verwachten dat de zonefile waarin de domeinnamen opgeslagen zitten zal verveelvoudigen met factor acht”, aldus Du Bois. “En ook de toegangssnelheid naar de servers moet opgedreven worden. Gelukkig was ons machinepark daar al op voorzien. In eerste instantie plannen we geen extra investeringen.”

Eigenlijk was de uitrol van DNSSEC bij DNS.be voorzien voor 2009. “Klopt”, klinkt het nog, “maar het steekt niet op enkele maanden. Het is zelfs een goede zaak dat we niet de eerste zijn: we hebben geleerd uit de fouten van anderen. En bovendien moet de keten volledig gesloten zijn. Alle schakels in het registratieproces moeten getekend worden, anders heeft het geen zin.”

“Icann heeft de rootzones pas enkele weken geleden getekend met DNSSEC, en er zijn nog heel wat agenten die overtuigd moeten worden. Als twee partijen van de vijf werken met de nieuwe standaard, dan heeft de eindgebruiker daar niets aan. Met andere woorden: als de registrars niet meewillen, dan lukt het niet.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content