DNSSEC-algoritmen nummer 13 en 14 nog maar beperkt gebruikt

Gepubliceerd op 04-05-2016

Sinds kort worden ook DNSSEC-algoritmen nummer 13 en 14 door SIDN ondersteund. Daarmee is het nu mogelijk geworden om ook .nl-domeinen ondergebracht bij CloudFlare met DNSSEC te beveiligen. Voorheen kon het sleutelmateriaal dat deze CDN-aanbieder standaard ter beschikking stelt (algoritme 13) immers niet bij SIDN aangemeld worden.

Een aantal kleinere registrars heeft gelijk van deze nieuwe mogelijkheid gebruik gemaakt. Om grote aantallen gaat het echter nog niet: sinds de introductie zijn 330 extra domein ondertekend. Marco Davids, research engineer bij SIDN, schat het totale aantal .nl-domeinen bij CloudFlare waarvoor DNSSEC nu aangezet kan worden op ongeveer 20 duizend. Voor CloudFlare-gebruikers (of hun registrars) is het slechts een kwestie van het registreren van hun sleutelmateriaal om direct DNSSEC aan te zetten.

Andere landen-domeinen

Uit een rondvraag uitgevoerd via CENTR blijkt dat de situatie in andere Europese landen vergelijkbaar is met die in Nederland. Veel registries geven aan algoritmen nummer 13 en 14 al te ondersteunen, waaronder .am, .at, .be, .ch, .cz, .de, .ee, .eu, .fi, .hu, .lu, .no, .pl, .se en .uk. En in een deel van de landen waarvoor dat nog niet het geval is, wordt op dit moment aan die ondersteuning gewerkt. Zo geven de beheerders van .dk, .es en .pl aan nummer 13 en 14 binnen een half jaar te zullen introduceren.

Hoewel CloudFlare alle door hen beheerde domeinnamen standaard van DNSSEC voorziet, en deze dienstverlener ook veel genoemd wordt als reden voor de ondersteuning van algoritmen nummer 13 (en 14), wordt hun sleutelmateriaal maar heel weinig daadwerkelijk aangemeld. De Europese registries melden in het algemeen geen, een handvol of maximaal een paar honderd DNSSEC-registraties op basis van algoritme 13.

ECDSA

Helemaal los van CloudFlare zijn er ook voor bestaande DNSSEC-gebruikers goede redenen om over te stappen naar algoritme nummer 13. De ECDSA-cryptografie waarop deze gebaseerd is heeft allerlei voordelen, met name voor DNS -operators: De lengte van zowel sleutels als handtekeningen blijft beperkt, waarmee wordt voorkomen dat voor het transport van langere records moet worden opgeschakeld van UDP/EDNS0 naar TCP. Het verschil in grootte tussen de DNS-vraag (de lookup query) en het antwoord (de response) blijft beperkt, waardoor DNSSEC minder makkelijk misbruikt kan worden voor het uitvoeren van DDoS-aanvallen. Tenslotte kost het uitrekenen van een digitale handtekening (de ondertekening) bij gebruik van ECDSA veel minder verwerkingskracht dan bij RSA. Dat is met name een groot voordeel voor registrars en andere DNS-operators die in bulk de domeinen voor hun klanten ondertekenen.

Het enige nadeel van ECDSA is dat het controleren (valideren) van de handtekeningen onder de DNS-records veel langzamer gaat dan bij RSA, zegt Davids. Dat gebeurt weliswaar aan resolver-zijde, maar is wel iets voor registrars om rekening mee te houden. Afgezien daarvan zien wij alleen maar voordelen van het gebruik van ECDSA.

Voor SIDN zelf is het gebruik van algoritme 13 nog niet actueel, maar zeker een optie voor de toekomst. Wij gebruiken OpenDNSSEC voor de ondertekening en de huidige stabiele versie ondersteunt op dit moment nog geen ECDSA.

Terug naar het nieuwsoverzicht