Nieuws

Volg hier ons laatste nieuws.

Hands-on: DNSSEC-validatie op BIND named

BIND named, de meest gebruikte DNS-server, kan fungeren als (autoritatieve) name-server en/of (caching) resolver. In dit artikel bespreken we de configuratie van named als DNSSEC-validerende resolver. De ondertekening van een zone op een autoritatieve name-server wordt in een ander artikel behandeld.

Juist omdat er al zo veel bestaande BIND-implementaties zijn — sommige draaien al jarenlang — hebben we bij alle features zo veel mogelijk de versienummers gegeven waarbij de betreffende optie in de software beschikbaar is gemaakt. Desondanks raden we aan om een zo'n recent mogelijke versie van BIND te gebruiken, al was het alleen maar omdat in de tussentijd natuurlijk ook bugs en security-problemen uit de software zijn gehaald.

Lees hier het hele artikel

Gepubliceerd op 06-10-2017

Root KSK roll-over uitgesteld

Beheerders van validerende resolvers dringend aangeraden om hun trust anchors op te waarderen

Gisteren heeft ICANN bekend gemaakt het moment waarop de daadwerkelijke root KSK roll-over plaats zou vinden — 11 oktober aanstaande — tot nader order uit te stellen. De reden is dat naar verwachting een aanzienlijk aantal Internet-gebruikers die dag in de problemen zou zijn gekomen. Na de roll-over zijn namelijk alle Internet-domeinen onbereikbaar voor gebruikers van resolvers die nog niet van het nieuwe KSK-2017 trust anchor zijn voorzien.

Lees verder...

Gepubliceerd op 29-09-2017

Vernieuwde Internet.nl-portal groeit sterk in gebruik

De Internet.nl-portal is deze zomer vernieuwd. Belangrijkste verbeteringen zitten in de gebruikersinterface en het grafisch ontwerp. Er wordt nu gebruik gemaakt van een responsive design, waarmee de portal beter toegankelijk is geworden voor mobiele gebruikers. Daarnaast is de vernieuwde site overzichtelijker en duidelijker in het gebruik.

De Internet.nl-portal biedt bezoekers de mogelijkheid hun verbindingen en domeinen te testen op de toepassing van een zestal moderne internet-standaarden: IPv6, DNSSEC, HTTPS, DMARC, STARTTLS en DANE. De uitkomsten resulteren in een score, waarmee gebruikers ook een kwantitatieve indicatie krijgen van hun "compliance". Volgens Bart Knubben, project manager bij het Platform Internetstandaarden, laat meer dan de helft van de domeinen bij herhaald testen een hogere score zien. Dat suggereert dat de portal inderdaad gebruikt wordt om verbeteringen door te voeren.

Lees verder...

Gepubliceerd op 27-09-2017

Hands-on: DNSSEC-ondertekening op Windows Server 2016

Jarrod Farncomb, een Australische systeembeheerder, heeft op zijn site een hands-on artikel gepubliceerd over de configuratie van DNSSEC op Windows Server 2016. Uitgangspunt is een Active Directory domain controller die al fungeert als autoritatieve DNS-server. Aan de hand van screenshots en bijbehorende uitleg loopt Farncomb door het hele proces van ondertekening heen.

Lees verder...

Gepubliceerd op 27-09-2017

Nog vier weken tot de root KSK roll-over: check je DNSSEC trust anchors!

Validerende resolvers die RFC 5011 ondersteunen zouden inmiddels de nieuwe publieke root KSK-sleutel als trust anchor geïnstalleerd en geactiveerd moeten hebben. Gebruik je nog software die RFC 5011 niet ondersteunt en je hebt het nieuwe trust anchor nog niet handmatig geïnstalleerd, dan wordt het de hoogste tijd om dat alsnog te doen. Vanaf 11 oktober zijn namelijk alle internetdomeinen onbereikbaar voor gebruikers van resolvers die niet van het nieuwe trust anchor zijn voorzien.

In dit artikel laten we zien hoe je de beschikbaarheid van het nieuwe trust anchor kunt controleren.

Gepubliceerd op 18-09-2017

Automatische installatie nieuwe DNSSEC trust anchor

De meeste software voor DNSSEC-validerende resolvers ondersteunt inmiddels RFC 5011. Dat betekent dat deze resolvers in staat zijn om automatisch de nieuwe publieke root KSK-sleutel als trust anchor te installeren.

Hoewel RFC 5011 ontwikkeld is om (root) KSK roll-overs zonder tussenkomst van de systeembeheerder te laten verlopen, is het belangrijk om te controleren of de huidige installatie/configuratie van je resolvers inderdaad de automatische installatie van het nieuwe trust anchor ondersteunt. Is een validerende resolver uiterlijk op 11 oktober 2017 niet van het nieuwe trust anchor voorzien, dan zijn vanaf dat moment alle internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar.

In een eerder artikel beschreven we de verschillende manieren waarop beheerders van validerende resolvers het nieuwe trust anchor op hun systemen kunnen installeren, gevolgd door specifieke informatie voor verschillende resolver software-pakketten.

In dit artikel bespreken we RFC 5011 en geven we een overzicht van de ondersteuning door de meest gebruikte resolvers. In een follow-up artikel laten we zien hoe je de goede werking van het nieuwe trust anchor kunt testen.

Lees hier het volledige artikel

Gepubliceerd op 24-07-2017

Ook Belgische banken scoren heel slecht op DNSSEC-beveiliging

Slechts één procent van de Belgische banken heeft zijn domeinnaam met DNSSEC ondertekend. Zo blijkt uit een analyse van Domeinnaam.tips. De redactie vindt deze bevindingen zorgwekkend. Banken zouden de eerste gebruikers van DNSSEC moeten zijn. De sector is één van de vaakst gekozen doelwitten van internetcriminelen en heeft het meest last van phishing en spoofing.

Lees verder...

Gepubliceerd op 18-07-2017

Update: nieuwe DNSSEC-functionaliteit voor sleutelbeheer

Unbound 1.6.4 doet 'key tag signaling'

Met de release van versie 1.6.4 ondersteunt Unbound nu ook 'key tag signaling' RFC 8145). Daarmee laten validerende resolvers aan een server weten welke sleutels zij als trust anchor gebruiken bij het opbouwen van de chain of trust. Op die manier krijgen beheerders van ondertekende domeinen informatie van client-zijde over de voortgang van een key roll-over.

Lees verder...

Gepubliceerd op 18-07-2017

Installatie trust anchor voor nieuwe root KSK

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS-root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Het eerste gedeelte van dit artikel behandelt de verschillende manieren waarop beheerders van validerende resolvers het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen kunnen installeren. Het tweede gedeelte richt zich specifiek op de handmatige update van het trust anchor en de automatische installatie via de update-functie van het operating system. De automatische installatie via DNSSEC zelf (op basis van RFC 5011) wordt in een follow-up artikel behandeld, tesamen met een overzicht van de meest gebruikte resolver software-pakketten en hun ondersteuning van deze feature.

Lees hier het volledige artikel

Gepubliceerd op 12-07-2017

De root KSK roll-over — veel gestelde vragen

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur vervangt door een nieuw sleutelpaar.

Beheerders van validerende resolvers moeten het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen installeren. Is dat uiterlijk op 11 oktober 2017 niet gebeurd, dan kunnen vanaf die dag de digitale handtekeningen onder de DNS-records niet meer gevalideerd worden. Daarmee zijn dan alle Internet-domeinen voor de gebruikers/applicaties van de betreffende resolver onbereikbaar geworden.

Op deze pagina beantwoorden we de meest gestelde vragen over de root KSK roll-over.

Gepubliceerd op 27-06-2017

DANE update: ondersteuning neemt snel toe

DANE, een op DNSSEC gebaseerde standaard voor de beveiliging van web- en mail-verbindingen, is sterk in opkomst. Hieronder behandelen we het belangrijkste nieuws: NCSC adviseert het inschakelen van STARTTLS en DANE, en de ondersteuning van DANE groeit snel.

NCSC adviseert inschakelen STARTTLS en DANE

Het Nationaal Cyber Security centrum (NCSC) adviseert om STARTTLS en DANE in te schakelen, en op die manier het transport van mailberichten te beveiligen. Daartoe heeft deze organisatie de Factsheet 'Beveilig verbindingen van mailservers' gepubliceerd.

Lees verder...

Gepubliceerd op 08-05-2017

SIDN DNSSEC update: refresh .nl zone, Valibox 1.2.0, samenwerking NLnet Labs

De afgelopen weken heeft SIDN drie aankondigingen gedaan die ook voor DNSSEC relevant zijn:

  • .nl zone file elk half uur ververst
  • Nieuwe versie ValiBox biedt ook persoonlijke firewal
  • SIDN verlengt samenwerking en sponsoring NLnet Labs

Lees verder...

Gepubliceerd op 01-05-2017

Update DNSSEC crypto-algoritmen: RFC 8080, ECDSA, OpenDNSSEC 2.1.0

Met de publicatie van RFC 8080 afgelopen maand is een nieuw cryptografisch protocol aan DNSSEC toegevoegd. Algoritmen nummer 15 (ED25519) en 16 (ED448) specificeren het gebruik van EdDSA (Edwards-curve Digital Security Algorithm), een snel ECC public key protocol.

Daarmee zijn nu twee nieuwe alternatieven voor de langzame RSA-gebaseerde algoritmen beschikbaar naast ECDSA (algoritmen 13 en 14) dat sinds een jaar ook door SIDN ondersteund wordt. Ondersteuning voor de nieuwe EdDSA-algoritmen is waarschijnlijk binnen een paar maanden voor elkaar.

Hoewel ECDSA inmiddels steeds meer wordt gebruikt in het .com-domein, zijn we in Nederland nog niet zo ver.

OpenDNSSEC (SoftHSM) ondersteunt ECDSA vanaf versie 2.1.0 die vorige week werd gepubliceerd.

Gepubliceerd op 09-03-2017

DNSSEC-inventarisatie 2017: banken en internet-sector lopen ernstig achter

Banken, internet-dienstverleners en de ondernemingen verantwoordelijk voor de datatransport-backbone lopen ernstig achter met de implementatie van DNSSSEC. Uit een inventarisatie van SIDN blijkt dat slechts een heel beperkt gedeelte van de bedrijven in deze sectoren zijn domeinnaam heeft ondertekend.

Banken

Ondanks dat de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn, scoren zij het slechtst van allemaal. Net als twee-en-half jaar geleden heeft slechts een enkeling (6%) zijn domeinnaam ondertekend. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC in combinatie met DKIM bescherming tegen kan bieden.

Daarnaast verhouden deze bevindingen zich slecht tot de verplichting die de banken zichzelf hebben opgelegd met de deelneming van Betaalvereniging Nederland in de onlangs opgerichte 'Veilige E-mail Coalitie'. Daarbij verklaren deelnemers dat zij in hun eigen organisatie en bij hun achterban zullen werken aan de invoering van onder andere DNSSEC.

Lees verder...

Gepubliceerd op 06-03-2017

Overheid en bedrijfsleven richten 'Veilige E-mail Coalitie' op

Overheid en bedrijfsleven gaan gezamenlijk misbruik zoals phishing en het afluisteren van e-mail aanpakken. Daartoe hebben zij vorige maand op initiatief van het Ministerie van Economische Zaken en Forum Standaardisatie de 'Veilige E-mail Coalitie' opgericht.

Deelnemers in de coalitie zijn: PostNL, KPN, Betaalvereniging Nederland, DDMA, Thuiswinkel.org, VNO-NCW, MKB-Nederland, Stichting Zeker-OnLine, Dutch Datacenter Association, Stichting DINL, XS4ALL, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Rijks-CIO), Fraudehelpdesk, Nederland ICT en de Belastingdienst. Deze partijen hebben zich verplicht om in hun eigen organisatie en bij hun achterban te werken aan de implementatie van moderne en veilige internetstandaarden: DMARC, DKIM en SPF tegen phishing, en DNSSEC, DANE en STARTTLS tegen afluisteren.

Gepubliceerd op 06-03-2017

Lengte van ZSK-sleutelpaar root zone op 2048 bits

Afgelopen najaar is de lengte van het ZSK-sleutelpaar voor de root zone van 1024 naar 2048 bits gebracht. Dat is gebeurd als onderdeel van de normale, geplande driemaandelijkse rollover. Daarmee heeft het ZSK-sleutelpaar nu dezelfde sterkte als het KSK-sleutelpaar.

Gepubliceerd op 06-03-2017

EPP Key Relay Mapping gestandaardiseerd als RFC 8063

Vorige maand is RFC 8063 'Key Relay Mapping for the Extensible Provisioning Protocol' gepubliceerd als officiële internet-standaard. Deze is ontwikkeld door SIDN Labs en beschrijft een uitbreiding van het EPP-protocol waarmee registrars via de registry (zoals SIDN) direct DNSSEC-sleutelmateriaal kunnen uitwisselen.

Deze uitbreiding was nodig om DNSSEC-ondertekende domeinnamen te kunnen verhuizen zonder daarvoor de beveiliging te hoeven onderbreken. De ontwikkeling van deze standaard heeft vier jaar geduurd en maakt DNSSEC technisch compleet.

Gepubliceerd op 06-03-2017

Tips en trucs voor DANE TLSA

door Wido Potters, BIT

Eind 2016 hebben we bij BIT het DNS-based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol — kortweg TLSA — geconfigureerd voor een aantal hosts. In dit artikel geven we een paar tips voor de implementatie ervan.

Probleem

TLSA is een protocol voor het veilig publiceren van publieke sleutels en certificaten dat voortbouwt op DNSSEC. DNSSEC voegt cryptografische verificatie toe aan het DNS en maakt het daarmee een betrouwbare bron voor certificaateigenschappen. Met DNSSEC is het Domain Name System veilig gemaakt en worden valse antwoorden op vragen aan het DNS voorkomen.

Certificaten worden onder andere gebruikt voor websites die HTTPS (TLS) ingeschakeld hebben. Die certificaten worden verstrekt door certificaatautoriteiten die met veel of weinig moeite controleren of jij wel daadwerkelijk de eigenaar/beheerder bent van de domeinnaam waar je een certificaat voor aanvraagt. Er zijn echter meer dan 100 certificaatautoriteiten die door browsers worden vertrouwd. Een probleem bij een van die autoriteiten kan tot gevolg hebben dat er valse certificaten worden uitgegeven voor grote en kleine sites. Onder andere Comodo en Diginotar hebben in het verleden valse certificaten uitgebracht. TLSA voorkomt niet de uitgifte van valse certificaten maar beperkt wel het gebruik ervan.

Lees verder...

Gepubliceerd op 24-01-2017

Roll-over voor root zone vraagt om attentie van DNSSEC-beheerders

Afgelopen najaar heeft ICANN de roll-over van het (KSK) sleutelpaar voor de root zone in gang gezet. Dat betekent dat het cryptografische sleutelpaar dat aan de basis ligt van de hele DNSSEC-infrastructuur wordt ververst (dat wil zeggen vervangen).

Er kleven belangrijke risico's aan deze update. Hoewel de kans daarop klein is, kan een fout betekenen dat het hele internet (inclusief de niet-ondertekende domeinen) onbereikbaar wordt voor alle gebruikers/applicaties die gebruik maken van validerende resolvers.

Hetzelfde speelt op lokaal niveau. Beheerders van validerende resolvers zullen moeten zorgen dat eerst de nieuwe (publieke) sleutel aan de trust anchors op hun servers wordt toegevoegd, en later dat de oude sleutel van hun systemen wordt verwijderd. Laten zij dat na, dan kunnen de digitale handtekeningen onder de top-level domeinen (TLD's) in de root zone niet meer gevalideerd worden. In dat geval zouden alle internet-domeinen voor de gebruikers van de betreffende resolver onbereikbaar worden.

RFC 5011 maakt het mogelijk de nieuwe (publieke) sleutel automatisch als trust anchor te laten installeren. De ontwikkelaars van de meest gebruikte validerende resolvers — PowerDNS, BIND named, Unbound en OpenDNSSEC — geven aan dat hun software dit protocol ondersteunt. De sterk verouderde appliances van Infoblox ondersteunen RFC 5011 niet, waarmee ze hun klanten met een nieuw probleem opzadelen.

Lees hier het volledige artikel

Gepubliceerd op 19-01-2017

Ruim dozijn hands-on artikelen over DNSSEC gepubliceerd

De Duitse security-consultant Johannes Weber heeft de afgelopen maanden (in het Engels) meer dan een dozijn blog postings over DNSSEC geschreven. Naast een hele rits hands-on artikelen over de DNSSEC-configuratie van BIND named beschrijft hij ook de configuratie van DANE, de installatie van de Unbound resolver op de Raspberry Pi, de configuratie van SSHFP-records en het gebruik van een aantal DNSSEC-specifieke tools.

Lees verder...

Gepubliceerd op 10-01-2017