Nieuwe stimulans voor beveiligingsstandaarden DNSSEC en DANE

De adoptie van DNSSEC kan nog wel wat hulp gebruiken. Hoewel we hier in Nederland wereldwijde koploper zijn met het aandeel ondertekende .nl-domeinnamen, doen we het wat betreft de validatie veel minder goed. De zojuist ingestelde incentive-regeling voor DANE zal naar verwachting ook DNSSEC een nieuwe impuls geven.

Cloudflare publiceerde onlangs een blog waarin deze CDN-leverancier op een toegankelijke manier uitlegt hoe DNS cache poisoning in zijn werk gaat. Daarbij wordt een domeinnaam/IP-adres-combinatie in een caching resolver door een kwaadwillende vervangen door vervalste informatie. Op die manier kunnen gebruikers ongemerkt worden omgeleid naar een alternatief IP-adres, waar ze bijvoorbeeld op een replica van de website van hun bank terecht komen.

Beveiligde domeinnamen

DNS spoofing is niet zo makkelijk voor elkaar te krijgen – we beschrijven hier de klassieke Kaminsky-aanval – maar vanwege de toename van het aantal incidenten en de grote implicaties is de bescherming daartegen cruciaal voor een veilige werking van ons internet. Het antwoord op deze problematiek is uiteraard DNSSEC, dat de originele DNS records van een digitale handtekening voorziet. Voor een technische uitleg van DNSSEC kunnen we je bijvoorbeeld dit webinar van EURid aanraden.

Adoptie

Hoewel Cloudflare terecht stelt dat DNSSEC nog niet algemeen geadopteerd is, lopen we in Nederland wat betreft de ondertekening wereldwijd voorop. Op dit moment zijn 3.2 van de 5.9 miljoen .nl-domeinnamen (54 procent) ondertekend.

SIDNLabs-DNSSECondertekend-20190710

Volgens Paul Vixie, mede-ontwikkelaar van DNS en DNSSEC, wordt de noodzaak om DNSSEC grootschalig te implementeren echter steeds dringender. "Veel beheerders willen DNSSEC niet aanzetten omdat dat meer werk voor hen oplevert." Eerder dit jaar al deed ICANN een hernieuwde oproep tot volledige implementatie van DNSSEC op alle domeinen. Directe aanleiding was de DNSpionage-zaak [1, 2], waarbij de DNS-infrastructuur van tientallen overheidsorganisaties en bedrijven in het Midden-Oosten gecompromitteerd was.

DNSSEC-validatie

Voor de .nl-zone hebben we de adoptie van DNSSEC de afgelopen jaren flink gestimuleerd door registrars een korting te geven op ondertekende domeinnamen. Meer over deze en andere incentive-regelingen kun je lezen in sectie 7 van onze eerdere IPv6-inventarisatie. Maar vooral wat betreft de validatie van DNSSEC moet er ook hier in Nederland nog een hoop gebeuren. Volgens de laatste statistieken van APNIC zitten we met 22 procent zelfs een stuk onder het gemiddelde in Europa (25 procent).

APNIC-DNSSECvalidationNL-20190710
APNIC-DNSSECvalidationEuropaNL-20190710

Incentive-regeling voor DANE

Deze maand hebben we voor de .nl-zone een incentive-regeling voor DANE (voor mail) ingesteld. Hoewel het hier niet om de validerende maar om de borgende (server) zijde gaat, verwachten we dat een dergelijke regeling ook DNSSEC in het algemeen een nieuwe impuls kan geven – DNSSEC is immers een verplicht onderdeel van de DANE-standaard. Zo meldt Postfix-ontwikkelaar Patrick Ben Koetter dat de DNSSEC-validatie in Duitsland snel toeneemt sinds zij tweeënhalve maand geleden de instelling ervan zijn gaan promoten (ten behoeve van DANE-validatie).

APNIC-DNSSECvalidationDE-20190710

Ondersteuning door dienstverleners

Uit de laatste halfjaarlijkse Meting Informatieveiligheidstandaarden, onlangs gepubliceerd door Forum Standaardisatie, blijkt dat overheidsorganisaties bij de implementatie van internet-beveiligingsstandaarden afhankelijk zijn van grote dienstverleners die deze standaarden nog niet aanbieden. Zo vragen klanten van Microsoft al jaren om de ondersteuning van DNSSEC en DANE op de Azure en Office 365 [1, 2] cloud-diensten. Voor Microsoft staat de implementatie van DNSSEC echter niet op korte termijn in de planning, zodat moderators alleen naar andere aanbieders kunnen doorverwijzen. Cloudflare en Google [1, 2] doen wel DNSSEC.

  • maandag 26 maart 2018

    Over SIDN

    SIDN en de AVG

    Thumb-GDPR

    Vanaf 25 mei is de AVG van toepassing. Wat betekent dit voor SIDN? Een interview met onze functionaris gegevensbescherming

    Lees meer
  • donderdag 15 november 2018

    Over SIDN

    Onderhoud website 15-11-2018 en 29-11-2018

    Onderhoud+en+storingen

    Door onderhoudswerkzaamheden is de website korte tijd niet of beperkt beschikbaar.

    Lees meer
  • vrijdag 2 februari 2018

    SIDN Labs

    Herontwerp van SPIN naar een referentieplatform voor veilige en privacy-vriendelijke IoT-thuisnetwerken

    Thumb-Internet-of-Things

    Voor veilige en privacy-vriendelijke IoT-thuisnetwerken

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.