.nl-domeinnamen met DNSSEC doorbreekt de 1,5 miljoen

Het aan­tal .nl-do­mei­nen dat met DNS­SEC is bevei­ligd is door de 1,5 mil­joen ge­bro­ken. Daar­mee is in­mid­dels bijna 30% van in to­taal 5,3 mil­joen do­mei­nen on­der­te­kend. Ne­der­land is en blijft we­reld­wij­de kop­lo­per op DNS­SEC-ge­bied.

Wat is DNS­SEC?

DNS­SEC is een uit­brei­ding op het Do­main Name Sy­s­tem (DNS). DNS­SEC ver­helpt een aan­tal kwets­baar­he­den in DNS waar­door de 'be­weg­wijze­ring' van het in­ter­net vei­li­ger en ver­trouw­der wordt.

Als be­heer­der van het .nl-do­mein is SIDN (Stich­ting In­ter­net Do­mein­re­gi­stra­tie Ne­der­land) ver­ant­woor­de­lijk voor de sta­bi­li­teit en de ver­de­re ont­wik­ke­ling van dit top-level do­mein. De re­gi­stry ver­werkt da­ge­lijks meer dan een mil­jard zoek­op­drach­ten voor meer dan vijf mil­joen do­mein­na­men.

DNS­SEC zorgt dus voor de bevei­li­ging van .nl-do­mein­na­men. De stan­daard biedt de ge­brui­ker de mo­ge­lijk­heid om te con­tro­le­ren of hij wordt "doorverbon­den" met het juis­te in­ter­net­num­mer. Sinds juni 2012 staat dit sys­teem op de "pas toe of leg uit"-lijst van het Forum en Col­le­ge Stan­daar­di­sa­tie, en heeft daar­mee een "ver­plich­te" sta­tus ge­kre­gen voor over­he­den en semi-pu­blie­ke in­stel­lin­gen.

DNS­SEC fun­da­ment onder an­de­re bevei­li­gings­pro­to­col­len

DNS­SEC is geen op zichzelf staan­de bevei­li­gings­stan­daard. Het fun­geert ook als fun­da­ment onder nieu­we pro­to­col­len die bij­voor­beeld de vei­lig­heid van server-cer­ti­fi­ca­ten voor web en mail ver­ster­ken. Daar­naast wor­den al­ler­lei be­staan­de bevei­li­gings­pro­to­col­len met de toe­pas­sing van DNS­SEC au­to­ma­tisch van een cryp­to­gra­fi­sche basis voorzien.

DNS­SEC past bij de on­der­houds­beurt die het in­ter­net nodig heeft. De nu ge­bruik­te stan­daar­den zijn ont­wor­pen in de jaren zeven­tig en vol­doen niet meer. Ze kun­nen de aan­tal­len ge­brui­kers niet meer aan, en hun vei­lig­heids­ni­veau is onvol­doen­de, gezien de waar­de die on­li­ne-trans­ac­ties ver­te­gen­woor­di­gen.

Re­cen­te in­ter­net in­ci­den­ten, zoals de Di­gi­no­tar-af­fai­re, tonen aan dat kwets­baar­he­den in de in­ter­net-in­fra­struc­tuur po­ten­ti­eel grote gevol­gen kun­nen heb­ben. DNS is dus kwets­baar. DNS­SEC lost dit op door mid­del van een di­gi­ta­le hand­te­ke­ning. Als de eind­ge­brui­ker een do­mein op­vraagt, bij­voor­beeld via zijn web­brow­ser, dan kan hij de gel­dig­heid van de hand­te­ke­ning ge­au­to­ri­seerd con­tro­le­ren.

DNS­SEC werkt als aan­vul­ling op SSL-cer­ti­fi­ca­ten op basis van PKI die in de web­brow­ser vaak met een slot­je wor­den aan­ge­geven. Deze cer­ti­fi­ca­ten zor­gen voor de in­te­gri­teit en ver­trou­we­lijk­heid van de ge­gevens­uit­wis­se­ling met een be­paal­de do­mein­naam, maar kun­nen niet ga­ran­de­ren dat er met het cor­rec­te IP-adres wordt ge­com­mu­ni­ceerd. DNS­SEC kan dat wel.

On­der­te­ke­nen van do­mein­na­men met DNS­SEC

Sinds 15 mei 2012 is het mo­ge­lijk uw do­mein­naam te bevei­li­gen met DNS­SEC en is het voor ie­de­re re­gi­strar mo­ge­lijk .nl-do­mein­na­men DNS­SEC aan te bie­den. Nog niet ie­de­re re­gi­strar on­der­steunt al DNS­SEC. In­for­meert u naar de mo­ge­lijk­he­den bij de re­gi­strar die u kiest. Be­drij­ven die DNS­SEC on­der­steu­nen her­kent u aan het ‘­slot­je’ ach­ter de be­drijfs­naam.

Meer in­for­ma­tie?

U kunt di­rect con­tact op­ne­men met een van de ICT-me­de­wer­kers van Aragorn voor meer in­for­ma­tie.