SIDN start project invoering DNSSEC voor .nl-zone
07/12/2009
Verwachtte implementatie augustus 2010
Arnhem, 7 december 2009 - SIDN, de registry voor .nl en ENUM NL, heeft vandaag aangekondigd DNSSEC voor de .nl-zone in te voeren een maand nadat de rootservers van het internet met DNSSEC zijn 'ondertekend'. ICANN, beheerder van de root, heeft recent laten weten dat dit hoogstwaarschijnlijk in juli 2010 zal gebeuren. Naar verwachting zal de .nl-zone dus in augustus 2010 met DNSSEC ondertekend worden.
DNSSEC
Het huidige DNS-protocol bevat een aantal kwetsbaarheden en is hierdoor niet voldoende beschermd tegen bijvoorbeeld aanvallen van een onbekende 'man-in-the-middle'. Internetgebruikers kunnen hierdoor op een nagemaakte website terecht komen of e-mailverkeer kan worden onderschept terwijl de gebruikte domeinnaam juist is. DNSSEC (DNS Security Extensions) lost deze problemen op en vergroot daarmee de betrouwbaarheid van het DNS. Maar het is niet de ultieme veiligheidsoplossing. Zo biedt het bijvoorbeeld geen oplossing voor typosquatting en phishing. Tegelijkertijd maakt DNSSEC het DNS veel complexer en veel gevoeliger voor fouten en zijn er nog een aantal operationele problemen die moeten worden opgelost. Toch wegen deze 'tegens' niet op tegen de voordelen en zijn wij overtuigd dat deze operationele problemen oplosbaar zijn. SIDN participeert daarom onder andere in de DNSSEC Industry Coalition om deze problemen op te lossen. Daarnaast speelt SIDN een actieve rol in openddnssec.org, de organisatie die zich bezighoudt met de ontwikkeling van open source software voor DNSSEC.
Ondertekenen van domeinnamen met DNSSEC
DNSSEC voor een zone invoeren (tier 1) heeft beduidend minder impact dan het ondertekenen van de domeinnamen in die zone met DNSSEC (tier 2). SIDN is van mening dat voor de tier 2 implementatie eerst nog een aantal operationele problemen opgelost moet worden. Zo moet bijvoorbeeld het verhuisproces nog uitgewerkt worden, moet het sleutelmanagement bij registries en houders nog worden ingericht en moet nog bepaald worden hoeveel domeinnamen er maximaal met een sleutel kunnen worden ondertekend.
Om deze en andere 'hobbels op de weg' te effenen, heeft SIDN samen met een aantal partijen het platform DNSSEC.NL opgericht. Binnen dit platform werken vertegenwoordigers uit de technische hoek van de internetgemeenschap (o.a. NLnetLabs, Surfnet en SIDN) aan oplossingen voor deze problemen. U kunt hierover meer lezen op
Roelof Meijer, Algemeen Directeur SIDN: "SIDN is voorstander van de invoering van DNSSEC, maar is van mening dat de implementatie niet ten koste mag gaan van de stabiliteit. Zeker voor een grote zone als de .nl-zone met ruim 3,6 miljoen .nl-domeinnamen, is stabiliteit de eerste prioriteit. Om die reden zijn wij de afgelopen jaren terughoudend geweest aangaande een snelle invoering van DNSSEC. Door te wachten tot de root ondertekend wordt met DNSSEC, hoeven we geen gebruik te maken van interim-oplossingen, die de kans op fouten vergroten, en kan de hele keten in een keer ondertekend worden. Ons inziens is dit de beste en veiligste manier om DNSSEC voor de .nl-zone in te voeren."
Stichting Internet Domeinregistratie Nederland