Nieuwe stimulans voor beveiligingsstandaarden DNSSEC en DANE

De adoptie van DNSSEC kan nog wel wat hulp gebruiken. Hoewel we hier in Nederland wereldwijde koploper zijn met het aandeel ondertekende .nl-domeinnamen, doen we het wat betreft de validatie veel minder goed. De zojuist ingestelde incentive-regeling voor DANE zal naar verwachting ook DNSSEC een nieuwe impuls geven.

Cloudflare publiceerde onlangs een blog waarin deze CDN-leverancier op een toegankelijke manier uitlegt hoe DNS cache poisoning in zijn werk gaat. Daarbij wordt een domeinnaam/IP-adres-combinatie in een caching resolver door een kwaadwillende vervangen door vervalste informatie. Op die manier kunnen gebruikers ongemerkt worden omgeleid naar een alternatief IP-adres, waar ze bijvoorbeeld op een replica van de website van hun bank terecht komen.

Beveiligde domeinnamen

DNS spoofing is niet zo makkelijk voor elkaar te krijgen – we beschrijven hier de klassieke Kaminsky-aanval – maar vanwege de toename van het aantal incidenten en de grote implicaties is de bescherming daartegen cruciaal voor een veilige werking van ons internet. Het antwoord op deze problematiek is uiteraard DNSSEC, dat de originele DNS records van een digitale handtekening voorziet. Voor een technische uitleg van DNSSEC kunnen we je bijvoorbeeld dit webinar van EURid aanraden.

Adoptie

Hoewel Cloudflare terecht stelt dat DNSSEC nog niet algemeen geadopteerd is, lopen we in Nederland wat betreft de ondertekening wereldwijd voorop. Op dit moment zijn 3.2 van de 5.9 miljoen .nl-domeinnamen (54 procent) ondertekend.

SIDNLabs-DNSSECondertekend-20190710

Volgens Paul Vixie, mede-ontwikkelaar van DNS en DNSSEC, wordt de noodzaak om DNSSEC grootschalig te implementeren echter steeds dringender. "Veel beheerders willen DNSSEC niet aanzetten omdat dat meer werk voor hen oplevert." Eerder dit jaar al deed ICANN een hernieuwde oproep tot volledige implementatie van DNSSEC op alle domeinen. Directe aanleiding was de DNSpionage-zaak [1, 2], waarbij de DNS-infrastructuur van tientallen overheidsorganisaties en bedrijven in het Midden-Oosten gecompromitteerd was.

DNSSEC-validatie

Voor de .nl-zone hebben we de adoptie van DNSSEC de afgelopen jaren flink gestimuleerd door registrars een korting te geven op ondertekende domeinnamen. Meer over deze en andere incentive-regelingen kun je lezen in sectie 7 van onze eerdere IPv6-inventarisatie. Maar vooral wat betreft de validatie van DNSSEC moet er ook hier in Nederland nog een hoop gebeuren. Volgens de laatste statistieken van APNIC zitten we met 22 procent zelfs een stuk onder het gemiddelde in Europa (25 procent).

APNIC-DNSSECvalidationNL-20190710
APNIC-DNSSECvalidationEuropaNL-20190710

Incentive-regeling voor DANE

Deze maand hebben we voor de .nl-zone een incentive-regeling voor DANE (voor mail) ingesteld. Hoewel het hier niet om de validerende maar om de borgende (server) zijde gaat, verwachten we dat een dergelijke regeling ook DNSSEC in het algemeen een nieuwe impuls kan geven – DNSSEC is immers een verplicht onderdeel van de DANE-standaard. Zo meldt Postfix-ontwikkelaar Patrick Ben Koetter dat de DNSSEC-validatie in Duitsland snel toeneemt sinds zij tweeënhalve maand geleden de instelling ervan zijn gaan promoten (ten behoeve van DANE-validatie).

APNIC-DNSSECvalidationDE-20190710

Ondersteuning door dienstverleners

Uit de laatste halfjaarlijkse Meting Informatieveiligheidstandaarden, onlangs gepubliceerd door Forum Standaardisatie, blijkt dat overheidsorganisaties bij de implementatie van internet-beveiligingsstandaarden afhankelijk zijn van grote dienstverleners die deze standaarden nog niet aanbieden. Zo vragen klanten van Microsoft al jaren om de ondersteuning van DNSSEC en DANE op de Azure en Office 365 [1, 2] cloud-diensten. Voor Microsoft staat de implementatie van DNSSEC echter niet op korte termijn in de planning, zodat moderators alleen naar andere aanbieders kunnen doorverwijzen. Cloudflare en Google [1, 2] doen wel DNSSEC.

  • dinsdag 17 september 2019

    SIDN Labs

    Vervolg op eerste DNS Flag Day in de maak

    Thumb-red-flag-against-blue-sky

    "Internet weer een stukje beter gemaakt"

    Lees meer
  • donderdag 5 september 2019

    DNSSEC

    Evaluatie validerende resolvers op Linux: Unbound en Knot Resolver beste

    Banner-checkbox

    "Systemd-resolved en Dnsmasq bevatten ernstige bugs"

    Lees meer
  • woensdag 30 januari 2019

    Over SIDN

    DNS software-ontwikkelaars willen code opschonen

    Thumb-software-developer-programming-code-on-computer

    "Bijna een kwart van de code is nu voor workarounds en corner cases"

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.