Pilot DNSSEC-validerende DNS-service succesvol afgesloten

"Nederlandse access providers moeten dringend gaan valideren"

De afgelopen 2 jaar draaiden we een pilot met een DNSSEC-validerende DNS-dienst. Het primaire doel was om zelf informatie te verzamelen over problemen veroorzaakt door validatiefouten. 5 jaar geleden vormde het aantal DNSSEC-configuratiefouten in de .nl-zone een probleem voor validerende resolvers. We namen toen diverse maatregelen om deze fouten terug te dringen. Desondanks bleven access providers dit probleem als argument gebruiken om validatie op hun resolvers niet in te hoeven schakelen.

Het 2e doel was om te onderzoeken of we een dergelijke dienst misschien voor een breed publiek beschikbaar zouden moeten maken. Met een validerende DNS-service zou enerzijds het gat dat de access providers laten liggen worden gevuld. Anderzijds zou daarmee een niet-commerciële tegenhanger van Google's Public DNS beschikbaar komen. Belangrijke meerwaarde hierbij is dat de privacy van de gebruikers dan wél volledig wordt gewaarborgd.

In de periode 2013-2014 vormden validatiefouten een belangrijke sta-in-de-weg voor de verdere ontwikkeling van DNSSEC in Nederland. De voortrekkersrol die het .nl-domein had (en heeft) in de ondertekening van domeinnamen is ten koste gegaan van de validatie. Gevolg: een disbalans tussen deze 2 complementaire onderdelen van DNSSEC.

Destijds waren er te veel domeinen waarvan het sleutelmateriaal zoals dat bij ons geregistreerd stond, niet overeenkwam met de informatie op de autoritatieve servers. Dat veroorzaakte problemen bij goedwillende access providers. Zij ondervonden hinder en werden geconfronteerd met kosten, terwijl de oorzaak en oplossing niet bij hen lag. In 2013 was deze problematiek voor T-Mobile zelfs reden om de validatie voor hun mobiele gebruikers weer úít te zetten.

Maatregelen

Om het aantal validatiefouten terug te dringen, namen we daarom diverse maatregelen. Zo werden de registrars die verantwoordelijk waren voor de meeste validatiefouten nagebeld (2013), waarna het aantal validatiefouten snel begon te dalen (2014). Met de ingebruikname van de Validation Monitor XXL (in 2015) hadden we een tool tot onze beschikking om ook de laatste DNSSEC-configuratiefouten uit de .nl-zone te persen. Bovendien konden we daarmee een (financiële) koppeling maken met de incentiveregeling (voor registrars) voor DNSSEC.

"Voor access providers is er geen enkele reden meer om DNSSEC-validatie op hun caching resolvers niet aan te zetten," zei technisch adviseur Marco Davids destijds. "De vrees voor extra belletjes van klanten naar de helpdesk is inmiddels niet meer gerechtvaardigd. Voor de grote Nederlandse providers is het nu zaak om bij de toeleveranciers waar het beheer van hun netwerk-infrastructuur is ondergebracht, aan te dringen op de ondersteuning van validatie."

Pilot

Ondanks dat validatiefouten al vanaf 2015 geen probleem meer zijn, gebruiken access providers dit oude probleem nog steeds regelmatig als argument om validatie op hun resolvers niet in te hoeven schakelen. Op dit moment behoren XS4ALLBIT en Edutel tot de weinige access providers die wél valideren voor hun klanten.

Vandaar dat we in juli 2015 een pilot startten voor een eigen DNS-service. Daarvoor werden bij glasvezel-aanbieder OpenFiber 2 (redundante) DNS-resolvers ingericht, een in Arnhem en een in Amsterdam. Deze werden in eerste instantie gebruikt door de meer dan 1000 leerlingen van het Haags Montessori Lyceum (HML). Later bood OpenFiber deze dienst aan al zijn FttH-klanten (Fiber to the Home) aan.

In november 2017 werd de pilot afgesloten. De gebruikers van deze dienst zijn daarbij teruggezet naar de resolvers van OpenFiber, die inmiddels ook valideren.

Verwaarloosbaar

"De belangrijkste uitkomst van deze pilot is dat validatiefouten vrijwel niet meer voorkomen," zegt Sebastaan Assink, key account manager bij SIDN. Over een periode van ongeveer anderhalf jaar zijn op een totaal van 849.182.522 queries 25.160 onbedoelde validatiefouten (verdeeld over 4.778 unieke domeinnamen) gemeten. Dat is ongeveer 30 op een miljoen, een vermindering van 5 orden van grootten ten opzichte van de situatie in 2013. Daarmee is het aantal fouten in de praktijk verwaarloosbaar geworden.

"We hebben in die twee jaar tijd geen enkele support call gekregen over websites die het niet doen over onze verbinding maar wel op de mobiele telefoon," aldus Kasper Schoonman, mede-eigenaar van OpenFiber.

SA-dsc-grapher2

SA-dsc-grapher

Een andere uitkomst is dat deze validerende DNS-service niet wordt uitgebouwd tot een volledige publieke dienst. "Onze pilot is succesvol afgerond en inmiddels gestopt. Het is goed om te zien dat het aantal providers dat DNSSEC-validatie aanzet, weliswaar nog erg langzaam, toch groeit." aldus Sebastiaan.

Rem op innovatie

Sebastiaan: "Ondanks dat validatiefouten allang geen probleem meer zijn, willen access providers maar niet in actie komen. De grootste access providers, waaronder KPN en Ziggo, valideren nog steeds niet. Daarmee zetten zij een rem op innovatie. Nieuwe toepassingen op DNS/DNSSEC -- denk aan DANE, DKIM, DMARC en SPF -- komen daardoor niet tot hun recht."

"We hebben in principe geen directe relatie met de access providers, wat het voor ons moeilijk maakt om daar voldoende impact te hebben. We blijven daarom de komende tijd werken aan awareness en blijven lobbyen voor deze zaak."

Reacties

  • vrijdag 18 januari 2019

    Over SIDN

    IRMA wint ISOC.nl Internet Innovatie Award 2019

    Thumb-ISOC-Award-IRMA

    Eervolle vermelding voor OpenINTEL

    Lees meer
  • donderdag 6 september 2018

    Kennis

    E-Commerce in China. Kans voor Nederlandse ondernemers?

    Thumb-China

    Nederland heeft in China een betrouwbare reputatie

    Lees meer
  • woensdag 11 september 2019

    Veilig internet

    Aller-allerlaatste IPv4-adressen eind dit jaar uitgedeeld

    Thumb-red-stamp-on-a-white-background-uitverkocht

    RIPE NCC schraapt restjes van adresblokken bij elkaar

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.