30 januari 2015

Edutel doet al vijf jaar DNSSEC -validatie voor zijn klanten

Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet het Brabantse Edutel dat inmiddels al vijf jaar voor zijn klanten. Langzamerhand volgen meer access providers dit voorbeeld, waarmee het belang van een foutloze registratie bij houders en registars van domeinen snel groter wordt.

Edutel levert internet over glas aan Brabantse particulieren en MKB-ers. Waar de meeste Nederlandse access providers nog geen DNSSEC-validatie hebben geïmplementeerd, doet Edutel dat al sinds 2009 voor zijn klanten. Destijds kwam de veiligheid van DNS negatief in het nieuws, vertelt Network/System Engineer Michiel Piscaer. Dus toen DNSSEC beschikbaar kwam, zijn we het gelijk gaan gebruiken. En sindsdien hebben we het niet meer uitgezet. Al onze klanten krijgen via DHCP onze DNS resolvers aangeboden en zijn op die manier beschermd tegen DNS-gebaseerde aanvallen.

Edutel heeft voor zijn DNS-service vier Linux-systemen staan. In de loop der tijd is men overgestapt van Bind naar Unbound, en van afzonderlijke systemen naar een cluster met een gedeelde database. Op deze manier worden zo'n 60 duizend klanten bediend.

Hoewel Edutel hiermee voorloper is in Nederland, heeft het bedrijf deze feature nooit expliciet naar zijn klanten gecommuniceerd. Wij doen dit al vijf jaar, zegt Piscaer. Belangrijkste reden is dat we onze klanten een goede dienstverlening willen aanbieden. Dat betekent ook dat hun internet zo veilig mogelijk moet zijn, bijvoorbeeld ten behoeve van internetbankieren. DNSSEC is een van de manieren om dat te bereiken.

Gebakken peren

Piscaer heeft de afgelopen jaren het aantal ondertekende domeinen sterk zien toenemen. SIDN geeft een aanzienlijke korting op ondertekende domeinen. Voor veel registrars bood dat een snelle methode om hun kosten flink te verlagen. Zij hebben hun domeinen met honderdduizenden tegelijk ondertekend, maar niet altijd de boel goed ingeregeld. De stimuleringsregeling van SIDN stelt vooralsnog geen voorwaarden aan de ondertekende domeinen, dus de motivatie bij de registrars om dat alsnog te doen is nu laag.

Wat Piscaer niet lekker zit is dat op dit moment het financiële voordeel bij de registrars terecht komt, terwijl de access providers met de gebakken peren zitten. Klanten die een bepaald domein niet kunnen bereiken bellen immers hun access provider, terwijl het probleem juist veroorzaakt wordt door de domeinbeheerder. Sinds de invoering van de incentive-regeling hebben wij met het aantal ondertekende domeinen ook de problemen met defecte DNSSEC-registraties zien toenemen. Op dit moment hebben we ongeveer eens per maand een klant aan de telefoon omdat een domein niet bereikbaar is. Omdat die toegang alleen via Edutel niet lukt, gaan zij ervan uit dat het probleem bij ons ligt. Onze klantenservice legt dan uit dat de eigenaar van die website de veroorzaker is. We hebben zelf wel eens geprobeerd om dergelijke problemen op te lossen door een mailtje naar de domeinnaamhouder te sturen. We delen deze informatie ook met SIDN. En anders helpen we de beller om zijn DNS-instellingen om te zetten naar een niet-validerende publieke DNS-server. Whitelisten doen we nooit; daarmee zouden we "verdachte" domeinen juist faciliteren.

Harder optreden

Als meer access providers zouden valideren, dan zou de last van configuratiefouten bij de domeinnaamhouders en registrars terecht komen, daar waar die thuishoort aldus Piscaer. Hun systemen zijn dan immers voor veel meer internetgebruikers onbereikbaar. Bovendien worden problemen dan sneller gesignaleerd. In de huidige situatie wordt er door domeinnaamhouders te weinig geklaagd bij hun dienstverleners, en de uitrol van DNSSEC valt er op stuk.

Voor Piscaer zelf is het vervelend om DNSSEC elke keer te moeten verdedigen. Die regelmatig terugkerende telefoontjes maken dat ik onze DNSSEC-validatie steeds opnieuw intern moet verdedigen. Op dit moment speelt dat gelukkig even niet, maar het blijft een terugkerend pijnpunt. DNSSEC biedt vooralsnog immers geen direct zichtbare commerciële meerwaarde. Wij willen niet steeds het probleem zijn in deze discussie. SIDN zou harder moeten optreden tegen registrars met domeinnamen waarvan het sleutelmateriaal niet in orde is.

Kentering

Gelukkig lijkt er inmiddels een kentering plaats te vinden in de huidige onbalans tussen ondertekenen en valideren van DNSSEC in het Nederlandse top-level domein. SIDN zelf werkt samen met registrars aan het terugdringen van het aantal beschadigde domeinen. Daarnaast gaan steeds meer access providers valideren voor hun internetgebruikers. Zo zijn het afgelopen jaar als onderdeel van de Campus Challenge de Universiteit Twente, de Rijksuniversiteit Groningen, het CWI en AMOLF gaan valideren voor hun medewerkers/studenten. Het gaat bij elkaar om meer dan 130 duizend apparaten die inmiddels allemaal gebruik maken van een validerende resolver. Bovendien heeft internet provider XS4ALL onlangs aangegeven binnenkort voor zijn klanten te gaan valideren.