Nederland loopt voorop met veilige dns-versie
Nederland heeft wereldwijd het hoogste aantal domeinnamen dat met dnssec is ondertekend. Dat heeft de organisatie achter het .nl-domein bekendgemaakt. In mei werd het mogelijk om dnssec toe te passen voor .nl-domeinen.
Op dit moment omvat de .nl-zone 355.000 domeinnamen die met dnssec zijn ondertekend, meldt de SIDN. Daarmee is dnssec, de veiligere versie van het domain name system, wereldwijd het populairst bij .nl-domeinnamen.
Het Nederlandse domein heeft nu iets meer ondertekende domeinnamen dan de vorige kampioen, Tsjechië, dat er volgens PowerDNS een paar honderd minder heeft. De nummer drie, het Brazilliaanse domein, heeft er circa 305.000.
Het aantal .nl-domeinen met dnssec is snel toegenomen sinds mei, toen het voor beheerders van een .nl-domein mogelijk werd om het protocol te activeren. Met dnssec worden dns-servers voorzien van public key cryptography. Met een private key worden domeinen ondertekend en met een publieke sleutel kan worden gecontroleerd of antwoorden van dns-servers valide zijn. Daarmee moet dns-spoofing worden voorkomen.
Het .nl-domein haalde eerder al de zogenoemde generieke top-level-domeinen in, zoals .com en .net. Het .com-domein heeft op dit moment circa 69.000 ondertekende domeinen; .net fors minder, namelijk 14.500. Dat terwijl er veel meer .com- en .net-domeinen zijn dan .nl-domeinnamen; het aantal .com-domeinen nadert de 100 miljoen, terwijl er 14 miljoen .net-domeinnamen zijn. Ter vergelijking: in juli werd het vijfmiljoenste .nl-domein geregistreerd.
In juni werd dnssec verplicht voor domeinnamen van overheidsorganisaties. "Sindsdien is onder meer Rijksoverheid.nl overgestapt op dnssec", zegt SIDN-woordvoerster Lycke Hoogeveen. Het is echter onwaarschijnlijk dat die verplichting heeft bijgedragen aan de snelle stijging van het aantal dnssec-domeinen. "Daarvoor is het te recent", aldus Hoogeveen.
Reacties (47)
Rare grafiek, er is geen data uit het verleden bekend van de andere 2, wat voegen die Nl stats dan toe? Daarbij is een percentage nog veel nuttiger dan absolute aantallen, zeker om te vergelijken...
Als je had geklikt op de bronlink en met je muis over de lijnen was gegaan, had je gezien dat rood en blauw wel degelijk stijgen, maar veel langzamer.Rare grafiek, er is geen data uit het verleden bekend van de andere 2, wat voegen die Nl stats dan toe?
Ik heb het dan ook niet over de bron, wat daar staat zal me een worst wezen, als ik altijd en overal de bron moet gaan lezen, wat voor nut dient tweakers dan, doorgeefluik? Nee ik ga er van uit dat de artikelen hier volledig genoeg zijn, en mocht ik overmatige interesse in iets hebben kan ik voor nog meer info/achtergrondinfo naar de bron gaan inderdaad.
Het gaat mij natuurlijk om die nutteloze grafiek onder het artikel op tweakers, vraag me af wie bedacht heeft om dat neer te zetten zonder enige nuttige informatie er in te verwerken.
Het gaat mij natuurlijk om die nutteloze grafiek onder het artikel op tweakers, vraag me af wie bedacht heeft om dat neer te zetten zonder enige nuttige informatie er in te verwerken.
Waarom erin verwerken als de legenda eronder staat ?Het gaat mij natuurlijk om die nutteloze grafiek onder het artikel op tweakers, vraag me af wie bedacht heeft om dat neer te zetten zonder enige nuttige informatie er in te verwerken.
Aantal domeinnamen met dnssec. Oranje Nederland, rood: Tsjechië, blauw: Brazillië. Afbeelding: PowerDNS.
Alsof ik dat niet heb gezien...Waarom erin verwerken als de legenda eronder staat ?
Aantal domeinnamen met dnssec. Oranje Nederland, rood: Tsjechië, blauw: Brazillië. Afbeelding: PowerDNS.
Dan nog zie je een rechte lijn bij die 2 landen terwijl in de bron duidelijk wordt dat die op het einde stijgen/dalen...
[Reactie gewijzigd door watercoolertje op dinsdag 7 augustus 2012 12:28]
Prima, dan haal ik 'm toch weg. Ook weer opgelost.Alsof ik dat niet heb gezien...
Dan nog zie je een rechte lijn bij die 2 landen terwijl in de bron duidelijk wordt dat die op het einde stijgen/dalen...
als je echt interesseert bent altijd de bron lezen (en de bron daar van) tot je bij het origineel bent.
ook tweakers gebruikt journalisten die gewoon mensen zijn.
en dus ook fouten kunnen maken of een verkeerde interpretatie kunnen geven.
altijd "gezond kritiesch" blijven.
waarheid ligt meestal in het midden.
ook tweakers gebruikt journalisten die gewoon mensen zijn.
en dus ook fouten kunnen maken of een verkeerde interpretatie kunnen geven.
altijd "gezond kritiesch" blijven.
waarheid ligt meestal in het midden.
Ik heb op school statistiek gehad en je hebt gelijk. Tegenwoordig zie je allerhande grafieken die niet volgens de regels zijn gemaakt.
De aantallen kloppen dus ook niet van Tsjechië en Brazilië in de loop van de tijd in ieder geval. Nederland lijkt zo wel de enigste die stijgt... geeft een krom beeld inderdaad
Het is van een bepaalde periode, en transip.nl is druk bezig alle domeinen automatisch dnssec te activeren, en ze zijn nog bezig
http://dnssec.nl/nieuws/a...-groeit-exponentieel.html
110.000 van transip kan die stijging wel verklaren
110.000 van transip kan die stijging wel verklaren
Wij van wc eend adviseren wc eend?
Waarop heeft SIDN dat gebaseerd, de SIDN kennende zijn ze zelden voorop lopend of correct qua informatievoorziening.
Waarop heeft SIDN dat gebaseerd, de SIDN kennende zijn ze zelden voorop lopend of correct qua informatievoorziening.
komt dat niet door transip? https://www.transip.nl/ni...tis-beveiligd-met-dnssec/
recentelijk al hun domein voorzien van dnssec. goede actie!
recentelijk al hun domein voorzien van dnssec. goede actie!
Inderdaad, en ze zijn nog bezig, dus blijft voorlopig nog flink groeien.
Dit komt inderdaad puur door TransIP. http://xs.powerdns.com/dnssec-nl-graph/
De teller stond eerst net onder de 100.000, TransIP heeft dat verdriedubbeld.
Interessant om te noemen is misschien ook, dat SIDN korting geeft per domein dat DNSSEC ondertekent is.
De teller stond eerst net onder de 100.000, TransIP heeft dat verdriedubbeld.
Interessant om te noemen is misschien ook, dat SIDN korting geeft per domein dat DNSSEC ondertekent is.
[Reactie gewijzigd door Arietje op dinsdag 7 augustus 2012 12:27]
Mijndomein.nl is op moment ook heel druk bezig met het signen van alle .nl registraties. Reken er maar op dat er de komende dagen de teller nog boven de 500000 gaat uitkomen
Op dit moment zijn er ongeveer ~75000 van de ~380000 gesigned van ons dus...
Op dit moment zijn er ongeveer ~75000 van de ~380000 gesigned van ons dus...
Ik zou de eer inderdaad meer bij SIDN leggen die een slimme kortingsactie hebben bedacht. Maar ook voor deze actie was Nederland al een topper wat betreft DNSSEC. Nederland heeft DNSSEC zelfs tot nationale standaard verheven (http://www.forumstandaard...pas-toe-of-leg-uit-lijst/).
Nederland is sowieso een reus in DNS-land, aan zo'n beetje ieder project lijkt wel een Nederlander mee te werken.
Nederland is sowieso een reus in DNS-land, aan zo'n beetje ieder project lijkt wel een Nederlander mee te werken.
Yup je kan bijna zeggen dat zonder Nederlanders/Belgen er geen DNS(SEC) zou bestaan:
DNSSEC RFC:
http://www.ietf.org/rfc/rfc4035.txt - Roy Arends (NL)
PowerDNS: Bert Hubert (NL)
Yadifa: Gery van Emelen (BE)
DNSSEC RFC:
http://www.ietf.org/rfc/rfc4035.txt - Roy Arends (NL)
PowerDNS: Bert Hubert (NL)
Yadifa: Gery van Emelen (BE)
Ligt het aan mij of is transip.nl zelf niet goed ge-signed? Bij www.sidn.nl and www.isc.org wordt mijn "DNSSEC validator" add-on in Firefox en Chrome netjes groen. Bij transip.nl wordt hij echter oranje (wel ge-signed maar niet verifieerbaar).
Is bij mij ook. Transip.eu is wel groen.
Hoe komt het dan dat het .nl domein (in verhouding met .com en .net) zoveel met dnssec ondertekende domeinen heeft?
SIDN is het duidelijk aan het pushen. Zo biedt SIDN een leuke korting van 7 cent/domein/kwartaal. Voor domeinboeren met 1000+ domeinen kan het dan snel uit om er extra tijd in te stoppen. Verder bieden ze in samenwerking met powerdns ondersteuning voor grote partijen.
De korting geld tot maximaal juli 2014.
[Reactie gewijzigd door Darkprince1234 op dinsdag 7 augustus 2012 13:54]
Je krijgt als registrar van SIDN korting als je DNSSEC toepast.Hoe komt het dan dat het .nl domein (in verhouding met .com en .net) zoveel met dnssec ondertekende domeinen heeft?
Transip.nl zo goed bezig is, en automatisch alle bij hun geregistreerde domeinen toepast (en dat zijn er veel)
Wel alleen bij domeinen welke geregistreerd zijn op de nameservers van TransIP. Klanten met eigen nameservers hebben wel de mogelijkheid DNSSEC in te stellen, maar dat zullen er verhoudingsgewijs niet veel meteen doen. Hosting control panels als directadmin/cpanel/plesk etc hebben het allemaal nog niet geïmplementeerd.
De volgende vraag is dan natuurlijk; hoeveel (Nederlandse) ISP's ondersteunen DNSSEC? Ik kan nu al melden dat de Ziggo DNS server het niet ondersteund en zelfs de Google 8.8.8.8 en 8.8.4.4 het niet ondersteunen.
Wat is dan nog het voordeel als niemand er gebruik van kan maken?
Wat is dan nog het voordeel als niemand er gebruik van kan maken?
Je moet 3 zaken onderscheiden.
- DNSSEC aanbieden voor je domein
- DNSSEC informatie controleren
- DNSSEC informatie communiceren via DNS
- Het aanbieden moet worden gedaan door degene die het domein beheert. In Nederland zijn een paar grote jongens zoals TransIP hier hard mee bezig. Dat krijg je min of meer gratis bij je domein.
- Het controleren van DNSSEC wordt gedaan door de DNS-server van de eindgebruiker. Meestal wordt die door je ISP geleverd maar de meeste doen het nog niet. Ik geloof dat t-mobile het doet (en in de VS doet Comcast het).
- Het doorgeven van DNSSEC info kan door iedere DNS-server gebeuren zonder speciale aanpassingen.
Je kan de Google DNS-server dus wel om DNSSEC info vragen maar die moet je dan zelf controleren.
- DNSSEC aanbieden voor je domein
- DNSSEC informatie controleren
- DNSSEC informatie communiceren via DNS
- Het aanbieden moet worden gedaan door degene die het domein beheert. In Nederland zijn een paar grote jongens zoals TransIP hier hard mee bezig. Dat krijg je min of meer gratis bij je domein.
- Het controleren van DNSSEC wordt gedaan door de DNS-server van de eindgebruiker. Meestal wordt die door je ISP geleverd maar de meeste doen het nog niet. Ik geloof dat t-mobile het doet (en in de VS doet Comcast het).
- Het doorgeven van DNSSEC info kan door iedere DNS-server gebeuren zonder speciale aanpassingen.
Je kan de Google DNS-server dus wel om DNSSEC info vragen maar die moet je dan zelf controleren.
Ik wil het ook wel toepassen, maar ik snap er vooralsnog geen zak van.
Ik ook niet...
Trouwens, volgens mij moet je om aan DNS-spoofing te kunnen doen zoiezo (onrechtmatig) toegang hebben tot de cache-database van een server en heb je dus als het goed is admin-permissies nodig om daarin te knoeien. Als je toch zover bent is het een kleine moeite om dat systeem met die keys even te "patchen" lijkt mij.
Hoe kan een client constateren dat het antwoord van een DNS-server op een request correct is aan de hand van die public key?Met dnssec worden dns-servers voorzien van public key cryptography. Met een private key worden domeinen ondertekend en met een publieke sleutel kan worden gecontroleerd of antwoorden van dns-servers valide zijn. Daarmee moet dns-spoofing worden voorkomen.
Trouwens, volgens mij moet je om aan DNS-spoofing te kunnen doen zoiezo (onrechtmatig) toegang hebben tot de cache-database van een server en heb je dus als het goed is admin-permissies nodig om daarin te knoeien. Als je toch zover bent is het een kleine moeite om dat systeem met die keys even te "patchen" lijkt mij.
Het is hetzelfde als een SSL verbinding over https. De publieke key wordt gebruikt om je verbinding te encrypten, echter is die alleen te decrypten met de private key, die alleen de eigenaar dus heeft.
Zover snap ik het, de client moet voor het aanspreken van de DNS-service dus al bekend zijn/geauthoriseerd hebben bij de server.
Maar als een client van die DNS-server gehackt is en er zit dus iemand of iets in het systeem dan heeft die DNS-server dat vast niet door en doet gewoon zijn werk, al dan niet beveiligd met dnssec. De indringer kan dus gewoon verder gaan met wat ie van plan was, bijv. het bank-account van de gebruiker phishen.
Ik zal het wel niet goed snappen, maar ik kan geen scenario bedenken waarbij dnssec nuttig is, tenzij de potentiele aanvaller al een grote kraak gezet heeft door een DNS-server binnen te dringen. Dan is dnssec de tweede drempel, mocht hij van plan zijn bepaalde communicatie te manipuleren zonder op te vallen.
Maar als een client van die DNS-server gehackt is en er zit dus iemand of iets in het systeem dan heeft die DNS-server dat vast niet door en doet gewoon zijn werk, al dan niet beveiligd met dnssec. De indringer kan dus gewoon verder gaan met wat ie van plan was, bijv. het bank-account van de gebruiker phishen.
Ik zal het wel niet goed snappen, maar ik kan geen scenario bedenken waarbij dnssec nuttig is, tenzij de potentiele aanvaller al een grote kraak gezet heeft door een DNS-server binnen te dringen. Dan is dnssec de tweede drempel, mocht hij van plan zijn bepaalde communicatie te manipuleren zonder op te vallen.
[Reactie gewijzigd door blorf op dinsdag 7 augustus 2012 15:08]
Het is geen totaal-oplossing maar pakt slechts 1 aspect aan. Als de client gehacked is heb je er inderdaad niks aan, dat was ook niet het doel (een computer tegen zichzelf beschermen is altijd moeilijk). Maar als je DNS-resolver gehacked wordt wel. Nu gebeurd dat niet heel vaak, maar meer dan je misschien zou denken en als het lukt is het heel lucratief.
Het wordt pas echt interessant als je eigen PC voor de controle gaat zorgen. Er is nu een redelijk groot probleem met onveilige thuis-routers die DNS-poisoning wel heel makkelijk maken. Als clients zelf validatie zouden doen dan valt dat probleem weg.
Het wordt pas echt interessant als je eigen PC voor de controle gaat zorgen. Er is nu een redelijk groot probleem met onveilige thuis-routers die DNS-poisoning wel heel makkelijk maken. Als clients zelf validatie zouden doen dan valt dat probleem weg.
Dat klopt niet helemaal, je verbinding wordt niet geencrypt.
Er wordt hier geen gebruik gemaakt van de encryptie van PKI maar van de signing kant; een soort digitale handtekeningen die bewijzen dat een bericht echt is gemaakt door de eigenaar van de sleutel. In DNS-termen: de RR-SIGS bewijzen dat DNS-informatie echt is zoals de eigenaar van het domein het heeft ingesteld.
Al deze info wordt zelf in clear-text doorgegeven, encryptie speelt geen rol.
Er wordt hier geen gebruik gemaakt van de encryptie van PKI maar van de signing kant; een soort digitale handtekeningen die bewijzen dat een bericht echt is gemaakt door de eigenaar van de sleutel. In DNS-termen: de RR-SIGS bewijzen dat DNS-informatie echt is zoals de eigenaar van het domein het heeft ingesteld.
Al deze info wordt zelf in clear-text doorgegeven, encryptie speelt geen rol.
Andersom. Je encrypt met de private key, en doordat de public key bekend is kan de ontvanger verifieren dat jij dat gedaan hebt, omdat hij/zij het kan decrypten met de public key.Het is hetzelfde als een SSL verbinding over https. De publieke key wordt gebruikt om je verbinding te encrypten, echter is die alleen te decrypten met de private key, die alleen de eigenaar dus heeft.
Grappig dat ze dit nu als groot nieuws bekent maken. Terwijl ze eigenlijk tot mei van dit jaar ver achterop zaten. Zelfs hier in Belgie is het al sinds september 2010 ingevoerd. En laat nu Belgie (zeker de laatste jaren) geen koploper zijn met nieuwe technologieen op het net.
Ik vind echter niet hoeveel van de 1.3milj be domeinen via dnssec gaan. Ter vergelijking zijn er volgens sidn 5milj nl domeinen geregistreerd.
Ik vind echter niet hoeveel van de 1.3milj be domeinen via dnssec gaan. Ter vergelijking zijn er volgens sidn 5milj nl domeinen geregistreerd.
Belgie was hier inderdaad heel snel mee, dat is op zich geen nieuws. Wat wel nieuws is, is het verbazend hoge tempo waarmee DNSSEC in NL wordt ingevoerd.
Ondersteuning is denk het ik het grootste probleem. Neem bijvoorbeeld de controlpanels zijn ook niet voorbereid of zijn nog bezig met de implementatie. Alles valt en staat hiermee. Natuurlijk heeft het alleen zin als de DNS servers het ondersteunen of niet.
SIDN wil alles voor zijn en biedt daarom gewoon korting, wel mooie manier om proces te versnellen qua implementatie. Je ziet wat er anders gebeurd met IPV6.
SIDN wil alles voor zijn en biedt daarom gewoon korting, wel mooie manier om proces te versnellen qua implementatie. Je ziet wat er anders gebeurd met IPV6.
De meeste DNS-servers ondersteunen het tegenwoordig wel, dat hoeft geen probleem te zijn. Die controle-panelen zijn wat meer werk, maar uiteindelijk heb je niet zo veel user-interface nodig, in de meeste gevallen kun je met een simpel 'aan/uit' vinkje toe en een knopje om je key te exporteren.
Een grote stimulans voor de hosters / domeinboeren om DNSSEC door te voeren is dat dit een verlichting van hun maandelijkse lasten betekent. SIDN geeft namelijk korting op domeinnamen als je DNSSEC ondersteunt 
.
Deze korting is 0.07 cent per domein per kwartaal. Snel rekensommetje leert als je 100.000 domeinen hebt dat je dit 28.000 op jaarbasis bespaart! Toch mooi meegenomen
Bron: (Let op, dit is op de een of andere manier de print-weergave?)
https://www.sidn.nl/print...l-domeinnamen-met-dnssec/
.Deze korting is 0.07 cent per domein per kwartaal. Snel rekensommetje leert als je 100.000 domeinen hebt dat je dit 28.000 op jaarbasis bespaart! Toch mooi meegenomen
Bron: (Let op, dit is op de een of andere manier de print-weergave?)
https://www.sidn.nl/print...l-domeinnamen-met-dnssec/
[Reactie gewijzigd door Enfer op dinsdag 7 augustus 2012 13:35]
Hahaha, er zijn blijkbaar mensen die denken dat dit voor de thuisgebruiker echt iets oplevert? En wat moet ik nu wijzigen op mijn Mac of Windows? Nou niets zeg maar!
Ik snap DNSSEC wel, en het voegt alleen iets toe voor de root domeinen. Oude DNS servers en dan voornamelijk van BIND, die waren zo slecht beveiligd, dat je met dns queries de hele zone kon leegtrekken, dat heet een zonetransfer. Dan kon jezelf als slave opgeven, en voila je had een copy van de DNS zone.
Dus het voegt iets toe voor ISP, en natuurlijk bedrijven als ICANN. Voor de gewone thuisgebruiker voegt het hooguit toe, dat je minder snel naar een valse server wordt verwezen, en je dus potentieel een verkeerd/malafide lookup result krijg.
En je hoeft op je PC niets in te stellen of te installeren ;-)
Ik snap DNSSEC wel, en het voegt alleen iets toe voor de root domeinen. Oude DNS servers en dan voornamelijk van BIND, die waren zo slecht beveiligd, dat je met dns queries de hele zone kon leegtrekken, dat heet een zonetransfer. Dan kon jezelf als slave opgeven, en voila je had een copy van de DNS zone.
Dus het voegt iets toe voor ISP, en natuurlijk bedrijven als ICANN. Voor de gewone thuisgebruiker voegt het hooguit toe, dat je minder snel naar een valse server wordt verwezen, en je dus potentieel een verkeerd/malafide lookup result krijg.
En je hoeft op je PC niets in te stellen of te installeren ;-)
Helemaal niets. Dit is iets voor DNS-servers onderling. (In de toekomst zal het ook wel naar je eigen computer toekomen, maar dat gaat nog wat jaartjes duren).Hahaha, er zijn blijkbaar mensen die denken dat dit voor de thuisgebruiker echt iets oplevert? En wat moet ik nu wijzigen op mijn Mac of Windows? Nou niets zeg maar!
Daar helpt DNSSEC niet tegen. DNSSEC zorgt dat als je een kopie maakt dat je kan controleren dat je kopie correct en compleet is.Ik snap DNSSEC wel, en het voegt alleen iets toe voor de root domeinen. Oude DNS servers en dan voornamelijk van BIND, die waren zo slecht beveiligd, dat je met dns queries de hele zone kon leegtrekken, dat heet een zonetransfer. Dan kon jezelf als slave opgeven, en voila je had een copy van de DNS zone.
Schrijf dat nu eens anders, dan zul je zien dat het grote voordelen zijn.Dus het voegt iets toe voor ISP, en natuurlijk bedrijven als ICANN. Voor de gewone thuisgebruiker voegt het hooguit toe, dat je minder snel naar een valse server wordt verwezen, en je dus potentieel een verkeerd/malafide lookup result krijg.
En je hoeft op je PC niets in te stellen of te installeren ;-)
Thuisgebruikers worden niet naar valse servers doorverwezen en ze hoefen daar niks voor in te stellen of te installeren. Ze kunnen het dus ook niet verkeerd doen.
Je kan het ook niet wegklikken zoals gebeurd met foutieve SSL-certificaten.
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
