Eenderde van alle .nl-domeinnamen met DNSSEC beveiligd

Gepubliceerd op 01-09-2014

Flexwebhosting ondertekent 80 duizend domeinnamen in een weekend

Inmiddels zijn bijna 1,9 van de 5,5 miljoen .nl-domeinnamen ondertekend. Daarmee is nu eenderde van het Nederlandse bestand met DNSSEC beveiligd. Er is wereldwijd geen ander top-level domein met zo veel ondertekende domeinnamen.

De meest recente bump in DNSSEC -gebruik hebben we te danken aan webhoster Flexwebhosting. Zij hebben vorig weekend in één keer bijna 80 duizend .nl-domeinnamen ondertekend. We hebben onze DNS -infrastructuur al een jaar geleden op deze stap voorbereid, vertelt consultant Aleksandar Skodric. Onze hidden master ns0 draait PowerDNS met MySQL. Vandaaruit worden de zones verdeeld naar onze drie publieke servers.

Monshouwer DNSSEC stats

We zijn anderhalve week geleden — met hulp van Kees Monshouwer — begonnen met een laatste controle van onze infrastructuur. Vervolgens hebben we eerst alleen de domeinnamen beginnend met de letter 'a' ondertekend; dat zijn er ongeveer 4.500. Nadat we geverifieerd hadden dat de eerste refresh van de RRSIG records zonder problemen uitgevoerd was, hebben we die vrijdag de rest ook gedaan.

Werklast

Voor onze set-up maken we gebruik van de meest recente versie van PowerDNS: release candidate 3.4.0, vervolgt Skodric. Omdat deze versie het 'rectify-zone'-commando nu automatisch uitvoert, hebben we helemaal niets aan onze DNS-applicaties hoeven te veranderen. Voor zo ver we weten zijn we in Nederland de eerste die DNSSEC op deze manier hebben geïmplementeerd.

Problemen bij de ondertekening van al die zones hebben zich niet voorgedaan. We hadden welgeteld maar één domein waar een fout in zat; die zone was verkeerd ingevuld door een klant en kon gelijk gerepareerd worden. Wel hebben we een PHP-scriptje moeten schrijven om de werklast een beetje te spreiden. Het ondertekenen zelf deden we met een snelheid van 500 domeinnamen per minuut. De load op onze server, een gewone quad-core met 16 Gbyte geheugen, is nooit boven de 2 uitgekomen, en het geheugengebruik nooit hoger dan 10 Gbyte.

Vanwege de policies van SIDN konden we per minuut maar 50 DNSKEY records in XML-formaat aanleveren. We mogen 90 duizend EPP-informatieverzoeken per 24 uur bij SIDN indienen. Die hadden we nodig om te controleren of de NS records inderdaad naar onze DNS-servers verwezen. Al met al heeft de hele operatie daardoor zo'n veertig uur geduurd. En zo hadden we ook nog ruimte over voor de EPP-verzoeken van onze andere applicaties.

Redundancy

In tegenstelling tot OpenDNSSEC die het verversen van de handtekeningen over de tijd uitsmeert, doet PowerDNS zijn refresh elke donderdagnacht. Ook dat weer met een snelheid van 500 domeinnamen per minuut. Wij zorgen dat daarna de serienummers van al die zones worden opgehoogd, zegt Skodric, zodat de nieuwe informatie middels een normale zone transfer naar de drie publieke servers wordt gepusht.

Omwille van de robuustheid is parallel aan deze eerste verborgen master een tweede server op een andere locatie geplaatst. Deze shadow draait dezelfde software en een replica van de MySQL database. Mocht er met het eerste systeem onverhoopt iets misgaan, dan kan snel worden overgeschakeld naar de tweede machine.

Meer DNSSEC

Naast deze 78 duizend domeinen waarvoor Flexwebhosting ook als operator fungeert, zijn er nog ongeveer vijfduizend domeinnamen bij de houders in eigen beheer. In een volgende fase gaan we hen in de beheer-interface een ingang aanbieden voor het uploaden van hun sleutelmateriaal, aldus Skodric. Bovendien komt er een optie om DNSSEC aan en uit te schakelen. Maar eerst willen we ook onze .be en .eu-domeinen ondertekenen. Dat zijn er nog eens 15 tot 20 duizend.

Daarnaast willen een script maken om al onze domeinen eens per week automatisch te controleren. Op die manier voorkomen we dat er validatiefouten optreden. Daarvoor willen we net als SIDN dat doet Unbound gaan gebruiken.

Terug naar het nieuwsoverzicht