Nieuwe stimulans voor beveiligingsstandaarden DNSSEC en DANE

Een DNSSEC/DANE medley

De adoptie van DNSSEC kan nog wel wat hulp gebruiken. Hoewel we hier in Nederland wereldwijde koploper zijn met het aandeel ondertekende .nl-domeinnamen, doen we het wat betreft de validatie veel minder goed. De zojuist ingestelde incentive-regeling voor DANE zal naar verwachting ook DNSSEC een nieuwe impuls geven.

Cloudflare publiceerde onlangs een blog waarin deze CDN-leverancier op een toegankelijke manier uitlegt hoe DNS cache poisoning in zijn werk gaat. Daarbij wordt een domeinnaam/IP-adres-combinatie in een caching resolver door een kwaadwillende vervangen door vervalste informatie. Op die manier kunnen gebruikers ongemerkt worden omgeleid naar een alternatief IP-adres, waar ze bijvoorbeeld op een replica van de website van hun bank terecht komen.

Beveiligde domeinnamen

DNS spoofing is niet zo makkelijk voor elkaar te krijgen – we beschrijven hier de klassieke Kaminsky-aanval – maar vanwege de toename van het aantal incidenten en de grote implicaties is de bescherming daartegen cruciaal voor een veilige werking van ons internet. Het antwoord op deze problematiek is uiteraard DNSSEC, dat de originele DNS records van een digitale handtekening voorziet. Voor een technische uitleg van DNSSEC kunnen we je bijvoorbeeld dit webinar van EURid aanraden.

Adoptie

Hoewel Cloudflare terecht stelt dat DNSSEC nog niet algemeen geadopteerd is, lopen we in Nederland wat betreft de ondertekening wereldwijd voorop. Op dit moment zijn 3.2 van de 5.9 miljoen .nl-domeinnamen (54 procent) ondertekend.

SIDNLabs-DNSSECondertekend-20190710

Volgens Paul Vixie, mede-ontwikkelaar van DNS en DNSSEC, wordt de noodzaak om DNSSEC grootschalig te implementeren echter steeds dringender. "Veel beheerders willen DNSSEC niet aanzetten omdat dat meer werk voor hen oplevert." Eerder dit jaar al deed ICANN een hernieuwde oproep tot volledige implementatie van DNSSEC op alle domeinen. Directe aanleiding was de DNSpionage-zaak [1, 2], waarbij de DNS-infrastructuur van tientallen overheidsorganisaties en bedrijven in het Midden-Oosten gecompromitteerd was.

DNSSEC-validatie

Voor de .nl-zone hebben we de adoptie van DNSSEC de afgelopen jaren flink gestimuleerd door registrars een korting te geven op ondertekende domeinnamen. Meer over deze en andere incentive-regelingen kun je lezen in sectie 7 van onze eerdere IPv6-inventarisatie. Maar vooral wat betreft de validatie van DNSSEC moet er ook hier in Nederland nog een hoop gebeuren. Volgens de laatste statistieken van APNIC zitten we met 22 procent zelfs een stuk onder het gemiddelde in Europa (25 procent).

APNIC-DNSSECvalidationNL-20190710
APNIC-DNSSECvalidationEuropaNL-20190710

Incentive-regeling voor DANE

Deze maand hebben we voor de .nl-zone een incentive-regeling voor DANE (voor mail) ingesteld. Hoewel het hier niet om de validerende maar om de borgende (server) zijde gaat, verwachten we dat een dergelijke regeling ook DNSSEC in het algemeen een nieuwe impuls kan geven – DNSSEC is immers een verplicht onderdeel van de DANE-standaard. Zo meldt Postfix-ontwikkelaar Patrick Ben Koetter dat de DNSSEC-validatie in Duitsland snel toeneemt sinds zij tweeënhalve maand geleden de instelling ervan zijn gaan promoten (ten behoeve van DANE-validatie).

APNIC-DNSSECvalidationDE-20190710

Ondersteuning door dienstverleners

Uit de laatste halfjaarlijkse Meting Informatieveiligheidstandaarden, onlangs gepubliceerd door Forum Standaardisatie, blijkt dat overheidsorganisaties bij de implementatie van internet-beveiligingsstandaarden afhankelijk zijn van grote dienstverleners die deze standaarden nog niet aanbieden. Zo vragen klanten van Microsoft al jaren om de ondersteuning van DNSSEC en DANE op de Azure en Office 365 [1, 2] cloud-diensten. Voor Microsoft staat de implementatie van DNSSEC echter niet op korte termijn in de planning, zodat moderators alleen naar andere aanbieders kunnen doorverwijzen. Cloudflare en Google [1, 2] doen wel DNSSEC.

  • maandag 12 november 2018

    Veilig internet

    Zo herken je een valse url

    Thumb-https

    Hulp bij het herkennen van nep websites

    Lees meer
  • dinsdag 8 mei 2018

    Over SIDN

    Kom naar DHPA TechFest!

    DHPA+Techfest+tumbnail

    Op 24 mei is DHPA TechFest in Naarderbos in Naarden.

    Lees meer
  • woensdag 25 juli 2018

    SIDN Labs

    Studenten positief over onze collegereeks Security Services for the IoT

    Thumb-employee-computer

    De collegereeks krijgt een vervolg

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.