DNSSEC overzicht

Sinds 15 mei 2012 kunnen alle .nl-domeinnamen worden voorzien van DNSSEC. Deze cryptografische beveiliging voegt een extra beschermingslaag toe aan het bestaande DNS-protocol. DNSSEC wordt op dit moment in ieder geval aangeboden door de negen registrars die als launching partner fungeerden. Maar in principe kan deze bescherming nu door alle registrars en internet service providers aan hun klanten aangeboden worden.

Het DNS-protocol

Het Domain Name System (DNS) verzorgt de vertaling van domeinnamen naar IP-adressen (en andersom). Zo moet je computer (de client) een name-server raadplegen voor het adres www.sidn.nl alvorens contact te kunnen zoeken met de web-server op het IP-adres 213.136.31.220. Maar ook mail en andere internet-protocollen maken gebruik van ditzelfde systeem.

De uitbreiding met DNSSEC

DNSSEC is een cryptografische beveiliging voor het DNS-protocol. Clients die deze uitbreiding ondersteunen (inmiddels al het merendeel), ontvangen van de name-server adres-informatie voorzien van een digitale handtekening. Zo worden de integriteit van de name-server en het transport van de DNS-informatie beschermd.

DNSSEC is voorwaarts compatibele. Dat wil zeggen dat nieuwe clients en servers voorzien van DNSSEC-ondersteuning gewoon (transparant) blijven samenwerken met bestaande systemen die deze uitbreiding nog niet ondersteunen, zij het dat in die gevallen de DNS-informatie niet ondertekend is.

Het DNSSEC-protocol

Bij gebruik van DNSSEC ontvangt de client van de name-server adres-informatie die is voorzien van een digitale handtekening. De authenticiteit van deze records kan gecontroleerd worden met behulp van de publieke sleutel voor dit domein. Deze wordt door de houder (via zijn registrar) één niveau hoger bij de registry in de DNS-hiërarchie geplaatst. Voor een .nl-domeinnaam staat de publieke sleutel dus op de name-servers van SIDN, de beheerder van het .nl top-level domein. De sleutel wordt voor clients beschikbaar gemaakt in de vorm van een hash code (een digitaal uittreksel). Daarmee kan een client verifiëren dat de publieke sleutel die hij bij de adres-informatie van de name-server ontvangt inderdaad dezelfde is als die door de houder of beheerder van de domeinnaam bij het trust anchor is aangemeld. Zo wordt een 'keten van vertrouwen' (chain of trust) over de verschillende niveau's van de DNS-hiërarchie opgebouwd.

De ondersteuning van DNSSEC

Alle centrale infrastructuur en faciliteiten voor de ondersteuning van DNSSEC op de .nl-domeinnamen zijn volledig operationeel. Deze uitbreiding wordt op dit moment in ieder geval aangeboden door de negen registrars die als launching partner fungeerden. Maar in principe kan deze bescherming door alle registrars en internet service providers aan hun klanten aangeboden worden.

De implementatie van DNSSEC

Is het beheer van de DNS-informatie ondergebracht bij een registrar of een internet service provider, dan moeten zij hun domeinen ondertekenen en de publieke sleutels via hun administratieve interface uploaden naar SIDN, de beheerder van het .nl top-level domein.

Doet men het beheer van de DNS-informatie zelf -- dat wil zeggen dat men eigen DNS-servers heeft staan -- dan begint de implementatie met het genereren van een cryptografisch sleutelpaar. De private sleutel wordt gebruikt om de records te ondertekenen. De publieke sleutel moet men via het administratieve dashboard van de registrar of internet service provider uploaden naar SIDN.

De winst van DNSSEC

Internet wordt steeds meer gebruikt als een platform voor de opslag van waardevolle informatie en het uitvoeren van financiële transacties. Denk maar aan internet-bankieren, online beleggen en betalingen bij web-shops. Weet een kwaadwillende de DNS-informatie op de name-server, onderweg of bij de client te veranderen (DNS spoofing), dan kan hij de internet-gebruiker naar een identieke maar valse web-server sturen. Op die manier kunnen vertrouwelijke gegevens, paswoorden en omzet worden gestolen. DNSSEC beschermt de name-server en het transport van de DNS-informatie. Daarmee wordt internet veiliger voor zowel gebruikers als online ondernemers.