BIT ondertekent reverse DNS zones

"We doen het omdat het kan"

Vanaf deze zomer ondertekent Internet Service Provider BIT ook de reverse domeinnamen (rDNS) voor zijn klanten. Dat wil zeggen dat ook de vertaling van een IP-adres terug naar een hostname is voorzien van een digitale handtekening (RRSIG record), en dat voor zowel IPv4 als IPv6.

Bestaande PowerDNS-systeem

"We hebben alle IP-ranges waarvan wij zelf de eigenaar zijn ondertekend", vertelt Sander Smeenk, hoofd systeembeheer bij BIT. In principe werkt dat hetzelfde als bij forward DNS. We gebruiken gewoon ons bestaande PowerDNS-systeem voor het ondertekenen van de reverse records."

"Het enige dat anders is, is het aanmelden van onze publieke KSK-sleutel (een DS record) bij RIPE NCC [verantwoordelijk voor de IP-adresruimten in groot-Europa en West-Azië]. Zij hebben geen EPP-ingang voor dit soort aanpassingen, dus gebruiken we hun auto-dbm mail-robot."

Klanten die zelf het beheer van hun reverse DNS doen — dat wil zeggen het DNS-beheer over hun adresblokken van BIT gedelegeerd hebben gekregen — kunnen hun DNSKEY record bij BIT registreren voor opname in de bovengelegen reverse zone, waarmee de cryptografische chain-of-trust gesloten wordt.

"Omdat het kan"

Voor BIT is er geen bijzondere reden of aanleiding om DNSSEC ook op de reverse DNS aan te zetten. "We hebben de techniek goed in de vingers en vertrouwen in onze productiestraat", aldus Smeenk. "We doen het omdat het kan."

Marco Davids, onderzoeker bij SIDN Labs, beaamt dat DNSSEC voor reverse DNS minder urgent is dan voor forward DNS. "De aanvalsvectoren op reverse DNS zijn van een lagere orde grootte. Maar kwaad kan het zeker niet: ook ondertekening van de reverse DNS draagt bij aan de veiligheid. Dat BIT DNSSEC nu ook doorvoert op de reverse DNS bewijst inderdaad dat ze de techniek goed beheersen. DNSSEC is inmiddels een standaard onderdeel van DNS aan het worden."

Reacties

  • donderdag 4 juli 2019

    Veilig internet

    CGNAT frustreert alle IP-adres-gebaseerde technieken

    Thumb-abstract-futuristic-cyberspace-with-a-hacked-array-of-binary-data

    IPv4 kraakt in alle voegen

    Lees meer
  • woensdag 29 mei 2019

    Veilig internet

    Veilige websites in grote organisaties: hou het overzicht

    Thumb-protected-access

    Over de risico’s voor grote organisaties met een versnipperd domeinnaamportfolio

    Lees meer
  • donderdag 31 mei 2018

    .nl-domeinnaam

    Campagne ‘Je hebt meer klik met .nl’

    Je-hebt-meer-klik-met-punt-nl-thumbnail

    31 mei start een awareness-campagne voor .nl

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.