B. L. O. G.
Belangrijke Literatuur, Onze Gezelligheid

 

DNSSEC geimplementeerd voor al onze .NL domeinnamen

Sinds medio augustus zijn een kleine 80.000 .NL domeinnamen, welke in beheer zijn van Flexwebhosting of FXW, officieel gesigned. Dit betekent dat het bezoeken van deze domeinnamen nog veiliger wordt, omdat ze gebruik maken van DNSSEC.

DNSSEC is een relatief nieuwe aanwinst in de strijd tegen internetcriminaliteit. Het is een samenwerking tussen verschillende partijen om er voor te zorgen dat u ook echt de website te zien krijgt die u wilt zien en waar u om vraagt. Om dit toe te kunnen lichten, is het eerst nodig om te weten wat er eigenlijk gebeurt wanneer u een domeinnaam in uw browsers adresbalk intypt. De SIDN, Stichting Internet Domeinregistratie Nederland, heeft hier een verhelderend filmpje over gemaakt:

In principe is dit dus de standaard procedure, ongeacht welke domeinnaam u bezoekt. Maar, hoe weet u nu dat de informatie die uw browser terugkrijgt via de resolver ook daadwerkelijk van de juiste nameserver af komt? Wat als er iemand uw verbinding kaapt en u valse informatie terug stuurt? Dan zou u naar een hele andere server gestuurd kunnen worden. Met een sokken-site is dat geen grote ramp, maar wel vervelend. Als dit met de website van de overheid of een bank gebeurt, is dat een stuk ernstiger.

Om dit soort misbruik te voorkomen, is DNSSEC geïntroduceerd. Bij het koppelen van een domeinnaam aan een bepaald IP adres, worden de gegevens versleuteld met een bepaalde sleutel. Dit versleutelen gebeurt met een zogenaamde private key (een privé sleutel), waarbij de gegevens alleen met een public key (de publiekelijk bekende variant van de privé sleutel) ontsleuteld kunnen worden. Deze public key wordt bekend gemaakt bij de SIDN.

In het filmpje van de SIDN, krijgt het robotje van de Supersokken-nameserver een IP adres mee. Was deze domeinnaam beveiligd geweest met DNSSEC, zou dit IP adres versleuteld meegestuurd zijn. Op de terugweg stopt de robot dan even bij de SIDN om dat versleutelde IP adres te laten ontsleutelen. De SIDN heeft immers die publieke sleutel om dat te kunnen doen.

De SIDN controleert op dat moment de gegevens die ze voor zich heeft. Klopt de versleuteling, past de sleutel en komt alles overeen met wat de SIDN weet van deze domeinnaam? Zo ja, wordt het ontsleutelde IP adres teruggestuurd naar de browser en kunt u verder met het bestellen van de sokken. Maar, wordt er tijdens die controle misbruik ontdekt, zal de website niet weergegeven worden.

Door het gebruik van DNSSEC weet u dus altijd dat u de juiste site bezoekt. Nou ja, altijd… Helaas maakt pas ongeveer ⅓ van alle .nl domeinnamen gebruik van DNSSEC en zijn bijvoorbeeld nog niet alle resolvers geschikt om die ver- en ontsleutelde informatie te verwerken. De hoop is dat dit binnen enkele jaren wel meer regel dan uitzondering zal worden. Onze taak zit er voor de .nl-domeinnamen in ieder geval op en zullen ons nu gaan richten op de volgende lading: .be en .eu!

De site van DNSSEC publiceerde onlangs een artikel over de inspanningen van Flexwebhosting om het uitrollen van DNSSEC tot een succes te maken. In het artikel wijdt onze in-house consultant uit over de technische aspecten van de implementatie, waardoor er in één weekend bijna 80.000 domeinnamen ondertekend werden.