DNS en Eurid verbeteren beveiliging van .eu en .be domeinen
DNS (.be) en Eurid (.eu) willen nog dit jaar de beveiligingsmethode DNSSEC introduceren voor hun domeinnamen. Vanaf dan mogen internetgebruikers er in principe gerust op zijn dat ze altijd terechtkomen op de plaats die ze zoeken.
DNS (.be) en Eurid (.eu) willen nog dit jaar de beveiligingsmethode DNSSEC introduceren voor hun domeinnamen. Vanaf dan mogen internetgebruikers er in principe gerust op zijn dat ze altijd terechtkomen op de plaats die ze zoeken.
Een veilig(er) internet is één van de belangrijkste thema’s op de Icann meeting die deze week plaatsvindt in Mexico City. Dat de instantie die wereldwijd het domeinnaamsysteem beheert in de komende jaren honderden nieuwe suffixen wil introduceren, is daar niet vreemd aan. De talrijke workshops rond e-crime en misbruik van het DNS worden aandachtig gevolgd door de honderden aanwezigen.
Eén van de hot topics daarbij is de invoering van het beveiligingsprotocol DNSSEC (DNS security extensions) voor top level domeinen (TLD’s). Sinds beveiligingsexpert Dan Kaminsky begin juli een ernstig DNS-lek wereldkundig maakte, heet het dat alleen de introductie van die nieuwe beveiligingsmethode een min of meer waterdichte oplossing biedt voor de verdediging van de integriteit van het domeinnaamsysteem. De patches die uitgerold werden na Kaminsky, verlagen al wel de kans dat caches ‘vervuild’ raken, maar reduceren haar zeker niet tot nul.
Registry’s voor landen als Zweden, Brazilië, Bulgarije en Tsjechië hebben intussen al voor een structurele oplossing gekozen door hun overstap op DNSSEC. Ook de uitbaters van .eu (Eurid) en .be (DNS) willen nog dit jaar hun domeinnamen overzetten. “Momenteel brengen we in kaart wat er allemaal komt kijken bij het invoeren van DNSSEC”, aldus Eurid-topman Marc Van Wesemael, “en dat is heel wat.”
De invoering van het beveiligingsprotocol is sowieso een complexe aangelegenheid, niet alleen op het technische, maar ook op het procedurele vlak. Een woordje uitleg is op zijn plaats. DNSSEC introduceert ‘public key algoritmes’ in het domain name system. In mensentaal wil dat zeggen dat aan elk antwoord dat het DNS-protocol geeft, een soort van digitale handtekening gekoppeld wordt. Kwaadwillenden kunnen de cache niet meer vervuilen en nietsvermoedende surfers naar valse sites leiden, omdat de authenticiteit van de opgevraagde informatie altijd geverifieerd wordt. Internetgebruikers komen dus steeds uit op de plek die ze zoeken.
“Eén en ander heeft wel tot gevolg dat het registratieproces van een domeinnaam ingewikkelder wordt, omdat elke domeinnaam voorzien moet zijn van zo’n digitale steutel”, gaat Van Wesemael verder. “Daarnaast verveelvoudigt de zonefile (6 tot 10 keer) waarin alle domeinnamen zitten opgeslagen, want al die handtekeningen komen er natuurlijk bij. Voor een zone zoals Duitsland, met 13 miljoen domeinnamen, is dat alles behalve evident.”
Het zou ook kunnen dat het bergaf gaat met de performance, wordt er gefluisterd. “Allemaal goed dat je een getekend antwoord terugkrijgt, maar dat moet ook nog ontsleuteld worden, en dat kost tijd”, bevestigt de algemeen directeur. “De eindgebruiker zal er niet zo veel van merken, maar uiteindelijk gaat het hele proces een stukje trager verlopen. Registrars (bedrijfjes die domeinnamen registreren), uitbaters van TLD’s en ISP’s zullen dus krachtigere hardware moeten gebruiken.”
Een ander euvel is van procedurele aard. Eigenaars van een domeinnaam moeten hun sleutels op een veilige manier doorgeven, want bij onzorgvuldigheid zullen hackers er als de kippen bij zijn. “Hoe langer je een sleutel gebruikt, hoe groter de kans dat hackers er toch weer achter komen. Vandaar ook dat er regelmatig nieuwe sleutels zullen worden ingevoerd. Het uitwisselen van die sleutels zal extra werk veroorzaken. In het geval van de registrars is de kans dus groot dat zij de extra kosten zullen doorrekenen. Wie een beveiligde domeinnaam wil, zal daar dus meer geld voor moeten op tafel leggen.”
De Zweedse registry is als eerste begonnen met de uitrol van DNSSEC, “maar die uitrol verloopt nog op een manuele manier. De sleutel wordt manueel ingebracht, omdat er nog maar een honderdtal eigenaars zijn die voor DNSSEC hebben gekozen. Dat is meteen ook een ander voordeel van het protocol. Je kan het systeem nationaal invoeren, maar niet iedereen hoeft mee op de trein te springen. Er zullen registrars zijn die niet willen meegaan in het verhaal, net zoals er heel wat klanten zullen zijn die niet zo nodig een ‘veilige’ domeinnaam van doen hebben.”
“Bij .eu en .be zouden we voor de volle honderd procent voor DNSSEC willen kiezen”, besluit Van Wesemael. “En daarvoor moet je een geautomatiseerd systeem hebben. Er is nog geen enkel land dat zo’n systeem gebruikt, wat dat betreft zullen we dus bij de eersten van de klas zijn.”
Fout opgemerkt of meer nieuws? Meld het hier