Wat is DNSSEC?

DNSSEC is een uitbreiding op het Domain Name System (DNS). DNSSEC verhelpt een aantal kwetsbaarheden in DNS waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt.

Op DNSSEC.nl vindt u alle (technische) informatie over DNSSEC die u nodig heeft om uw domeinnamen beter te beveiligen.

 

Laatste nieuws

Meer nieuws >

"DNSSEC uiterlijk eind 2017 bij alle gemeenten geïmplementeerd"

30/06/2016 - 

Zonder veilige basisinfrastructuur geen digitale overheid

Gemeenten moeten DNSSEC uiterlijk eind 2017 hebben geïmplementeerd. Zo schrijft minister Plasterk van Binnenlandse Zaken en Koninkrijksrelaties in antwoord op kamervragen. Hetzelfde geldt voor de andere internet-beveiligingsstandaarden die op de 'pas toe of leg uit'-lijst staan: TLS, DKIM en SPF.

Aanleiding voor de kamervragen was het bericht dat Gemeentelijke e-mail 'gênant slecht' beveiligd is. Volgens Binnenlands Bestuur blijkt uit een steekproef met e-maildomeinen van vijftig verschillende gemeenten dat slechts drie van hen aan de moderne standaarden voor veilige e-mail te voldoen: Den Haag, 's-Hertogenbosch en Woerden. Die uitkomsten komen overeen met onze eerdere bevindingen, waaruit ook bleek dat hetzelfde geldt voor centrale overheden.

Lees verder...

'Key relay'-protocol voor verhuizen DNSSEC-ondertekende domeinnamen gestandaardiseerd

23/06/2016 - 

Deze zomer wordt het 'key relay'-protocol officieel gestandaardiseerd door de IETF. Dat betekent dat deze zal worden gepubliceerd als Internet Standard RFC.

Het 'key relay'-protocol is een noodzakelijk onderdeel voor het veilig verhuizen van DNSSEC-ondertekende domeinnamen tussen verschillende registrars. Om dat zonder onderbreking van de beveiliging te kunnen doen, moet een uitwisseling van sleutelmateriaal plaatsvinden. De bovenliggende registry is dan de aangewezen partij om dit voor zijn registrars te faciliteren.

Lees verder...

Interessante Case Studies

< vorige | volgende >

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

MIDDAG voorziet .nl-domeinen van DNSSEC op basis van algoritme 13

De recentelijke ondersteuning van DNSSEC-algoritmen nummer 13 en 14 door SIDN kwam internet-dienstverlener MIDDAG heel goed uit. Begin dit jaar heeft het bedrijf het beheer van al zijn domeinnamen ondergebracht bij CDN-aanbieder CloudFlare. Omdat CloudFlare zijn sleutelmateriaal alleen beschikbaar stelt op basis van algoritme nummer 13 en SIDN dit protocol nog niet ondersteunde, was daarmee de weg naar DNSSEC geblokkeerd. Nu dat probleem is opgelost heeft MIDDAG gelijk alle 160 .nl-domeinen van DNSSEC voorzien.

Rond de jaarwisseling zijn we voor het beheer van al onze domeinen overgestapt naar CloudFlare, vertelt Vic D'Elfant, software architect en eigenaar van MIDDAG. We hebben toen contact opgenomen met SIDN en gevraagd of zij algoritme nummer 13 konden ondersteunen. Toen we van hen hoorden dat deze mogelijkheid in de volgende release van DRS zou zitten, hebben we dat even afgewacht.

DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen

DNSSEC timing: absolute, relatieve en administratieve tijdsaanduidingen

DNSSEC heeft de wereld van de DNS operator op twee belangrijke punten veranderd. Ten eerste is DNS hiermee van een voornamelijk administratief systeem geëvolueerd tot een aanzienlijk complexer cryptografisch platform dat voor een heleboel nieuwe toepassingen gebruikt kan worden. Ten tweede introduceert DNSSEC voor het eerst absolute tijden in een systeem dat voorheen alleen relatieve tijden (TTL's) kende. Bovendien interacteren deze twee verschillende timing-methoden met elkaar.

In dit artikel behandelen we de timing-aspecten van DNSSEC aan de hand van de instellingen voor OpenDNSSEC (in het bestand /etc/opendnssec/kasp.xml). Dat is de meestgebruikte DNSSEC-oplossing voor Bind named, dat op zijn beurt weer de meestgebruikte DNS-server is.

SIDN perst laatste DNSSEC-validatiefouten uit de .nl-zone

SIDN perst laatste DNSSEC-validatiefouten uit de .nl-zone

Validation Monitor XXL controleert elke nacht alle .nl-domeinen

Afgelopen voorjaar nam SIDN de Validation Monitor XXL in gebruik. Deze tool controleert nu elke nacht alle 2,5 miljoen DNSSEC-ondertekende domeinen op validatiefouten. Daarmee is weer een flinke slag gemaakt in het terugdringen van het aantal fouten in de .nl-zone. Dat aantal ligt inmiddels onder de 1,2 promille. Bovendien gaat het steeds meer om domeinnamen die niet of nauwelijks gebruikt worden.

Voor access providers is er geen enkele reden meer om DNSSEC-validatie op hun caching resolvers niet aan te zetten. De vrees voor extra belletjes van klanten naar de helpdesk is inmiddels niet meer gerechtvaardigd. Voor de grote Nederlandse providers is het nu zaak om bij de toeleveranciers waar het beheer van hun netwerk-infrastructuur is ondergebracht aan te dringen op de ondersteuning van validatie.