Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Nederland heeft wereldwijd het hoogste aantal domeinnamen dat met dnssec is ondertekend. Dat heeft de organisatie achter het .nl-domein bekendgemaakt. In mei werd het mogelijk om dnssec toe te passen voor .nl-domeinen.

Sidn logoOp dit moment omvat de .nl-zone 355.000 domeinnamen die met dnssec zijn ondertekend, meldt de SIDN. Daarmee is dnssec, de veiligere versie van het domain name system, wereldwijd het populairst bij .nl-domeinnamen.

Het Nederlandse domein heeft nu iets meer ondertekende domeinnamen dan de vorige kampioen, Tsjechië, dat er volgens PowerDNS een paar honderd minder heeft. De nummer drie, het Brazilliaanse domein, heeft er circa 305.000.

Het aantal .nl-domeinen met dnssec is snel toegenomen sinds mei, toen het voor beheerders van een .nl-domein mogelijk werd om het protocol te activeren. Met dnssec worden dns-servers voorzien van public key cryptography. Met een private key worden domeinen ondertekend en met een publieke sleutel kan worden gecontroleerd of antwoorden van dns-servers valide zijn. Daarmee moet dns-spoofing worden voorkomen.

Het .nl-domein haalde eerder al de zogenoemde generieke top-level-domeinen in, zoals .com en .net. Het .com-domein heeft op dit moment circa 69.000 ondertekende domeinen; .net fors minder, namelijk 14.500. Dat terwijl er veel meer .com- en .net-domeinen zijn dan .nl-domeinnamen; het aantal .com-domeinen nadert de 100 miljoen, terwijl er 14 miljoen .net-domeinnamen zijn. Ter vergelijking: in juli werd het vijfmiljoenste .nl-domein geregistreerd.

In juni werd dnssec verplicht voor domeinnamen van overheidsorganisaties. "Sindsdien is onder meer Rijksoverheid.nl overgestapt op dnssec", zegt SIDN-woordvoerster Lycke Hoogeveen. Het is echter onwaarschijnlijk dat die verplichting heeft bijgedragen aan de snelle stijging van het aantal dnssec-domeinen. "Daarvoor is het te recent", aldus Hoogeveen.

Reacties (47)

Reactiefilter:-147047+129+24+30
Moderatie-faq Wijzig weergave
Wat interessante info voor mensen die DNSSEC willen implementeren:

1. Doorloop deze cursus: http://dnsseccursus.nl/
2. Doorloop de checklist en de FAQ op http://dnssec.nl

Hierna weet je alles wat je moet weten over DNSSEC de implementatie hiervan.

Voor een goede implementatie moet je de omgeving echt goed bouwen. DNS is een behoorlijk flexibel systeem en DNSSEC is dat niet. Verder wordt er geadviseerd elke 2 weken de sleutels te vervangen, sommige firewalls vinden DNSSEC niet leuk omdat de pakketten een stuk groter zijn en het TCP verkeer is geworden. Ook je monitor moet strak ingesteld zijn op je resolvers en authoritative DNS servers. Een verkeerde tijd op je server kan al als uitwerking hebben dan je DNS het helemaal niet meer doet.

Voor ons was het na het schrijven van een plan reden om nog even te wachten met de implementatie. We wachten even totdat het gemeengoed is geworden.
Over tien jaar :-)

DNSSEC en IPSEC bestaan al sinds vorige eeuw beiden zijn nog steeds geen gemeengoed.
komt dat niet door transip? https://www.transip.nl/ni...tis-beveiligd-met-dnssec/

recentelijk al hun domein voorzien van dnssec. goede actie!
Dit komt inderdaad puur door TransIP. http://xs.powerdns.com/dnssec-nl-graph/

De teller stond eerst net onder de 100.000, TransIP heeft dat verdriedubbeld.

Interessant om te noemen is misschien ook, dat SIDN korting geeft per domein dat DNSSEC ondertekent is.

[Reactie gewijzigd door Arietje op 7 augustus 2012 12:27]

Ik zou de eer inderdaad meer bij SIDN leggen die een slimme kortingsactie hebben bedacht. Maar ook voor deze actie was Nederland al een topper wat betreft DNSSEC. Nederland heeft DNSSEC zelfs tot nationale standaard verheven (http://www.forumstandaard...pas-toe-of-leg-uit-lijst/).

Nederland is sowieso een reus in DNS-land, aan zo'n beetje ieder project lijkt wel een Nederlander mee te werken.
Yup je kan bijna zeggen dat zonder Nederlanders/Belgen er geen DNS(SEC) zou bestaan:

DNSSEC RFC:
http://www.ietf.org/rfc/rfc4035.txt - Roy Arends (NL)

PowerDNS: Bert Hubert (NL)
Yadifa: Gery van Emelen (BE)
Ligt het aan mij of is transip.nl zelf niet goed ge-signed? Bij www.sidn.nl and www.isc.org wordt mijn "DNSSEC validator" add-on in Firefox en Chrome netjes groen. Bij transip.nl wordt hij echter oranje (wel ge-signed maar niet verifieerbaar).
Is bij mij ook. Transip.eu is wel groen.
Mijndomein.nl is op moment ook heel druk bezig met het signen van alle .nl registraties. Reken er maar op dat er de komende dagen de teller nog boven de 500000 gaat uitkomen :)

Op dit moment zijn er ongeveer ~75000 van de ~380000 gesigned van ons dus... :)
Inderdaad, en ze zijn nog bezig, dus blijft voorlopig nog flink groeien.
De volgende vraag is dan natuurlijk; hoeveel (Nederlandse) ISP's ondersteunen DNSSEC? Ik kan nu al melden dat de Ziggo DNS server het niet ondersteund en zelfs de Google 8.8.8.8 en 8.8.4.4 het niet ondersteunen.
Wat is dan nog het voordeel als niemand er gebruik van kan maken?
Je moet 3 zaken onderscheiden.

- DNSSEC aanbieden voor je domein
- DNSSEC informatie controleren
- DNSSEC informatie communiceren via DNS

- Het aanbieden moet worden gedaan door degene die het domein beheert. In Nederland zijn een paar grote jongens zoals TransIP hier hard mee bezig. Dat krijg je min of meer gratis bij je domein.
- Het controleren van DNSSEC wordt gedaan door de DNS-server van de eindgebruiker. Meestal wordt die door je ISP geleverd maar de meeste doen het nog niet. Ik geloof dat t-mobile het doet (en in de VS doet Comcast het).
- Het doorgeven van DNSSEC info kan door iedere DNS-server gebeuren zonder speciale aanpassingen.

Je kan de Google DNS-server dus wel om DNSSEC info vragen maar die moet je dan zelf controleren.
Hoe komt het dan dat het .nl domein (in verhouding met .com en .net) zoveel met dnssec ondertekende domeinen heeft?
SIDN is het duidelijk aan het pushen. Zo biedt SIDN een leuke korting van 7 cent/domein/kwartaal. Voor domeinboeren met 1000+ domeinen kan het dan snel uit om er extra tijd in te stoppen. Verder bieden ze in samenwerking met powerdns ondersteuning voor grote partijen.
De korting geld tot maximaal juli 2014.

[Reactie gewijzigd door Darkprince1234 op 7 augustus 2012 13:54]

Hoe komt het dan dat het .nl domein (in verhouding met .com en .net) zoveel met dnssec ondertekende domeinen heeft?
Je krijgt als registrar van SIDN korting als je DNSSEC toepast.
Transip.nl zo goed bezig is, en automatisch alle bij hun geregistreerde domeinen toepast (en dat zijn er veel)
Wel alleen bij domeinen welke geregistreerd zijn op de nameservers van TransIP. Klanten met eigen nameservers hebben wel de mogelijkheid DNSSEC in te stellen, maar dat zullen er verhoudingsgewijs niet veel meteen doen. Hosting control panels als directadmin/cpanel/plesk etc hebben het allemaal nog niet geÔmplementeerd.
Rare grafiek, er is geen data uit het verleden bekend van de andere 2, wat voegen die Nl stats dan toe? Daarbij is een percentage nog veel nuttiger dan absolute aantallen, zeker om te vergelijken...
Het is van een bepaalde periode, en transip.nl is druk bezig alle domeinen automatisch dnssec te activeren, en ze zijn nog bezig
http://dnssec.nl/nieuws/a...-groeit-exponentieel.html

110.000 van transip kan die stijging wel verklaren
Rare grafiek, er is geen data uit het verleden bekend van de andere 2, wat voegen die Nl stats dan toe?
Als je had geklikt op de bronlink en met je muis over de lijnen was gegaan, had je gezien dat rood en blauw wel degelijk stijgen, maar veel langzamer.
Ik heb het dan ook niet over de bron, wat daar staat zal me een worst wezen, als ik altijd en overal de bron moet gaan lezen, wat voor nut dient tweakers dan, doorgeefluik? Nee ik ga er van uit dat de artikelen hier volledig genoeg zijn, en mocht ik overmatige interesse in iets hebben kan ik voor nog meer info/achtergrondinfo naar de bron gaan inderdaad.

Het gaat mij natuurlijk om die nutteloze grafiek onder het artikel op tweakers, vraag me af wie bedacht heeft om dat neer te zetten zonder enige nuttige informatie er in te verwerken.
Het gaat mij natuurlijk om die nutteloze grafiek onder het artikel op tweakers, vraag me af wie bedacht heeft om dat neer te zetten zonder enige nuttige informatie er in te verwerken.
Waarom erin verwerken als de legenda eronder staat ?

Aantal domeinnamen met dnssec. Oranje Nederland, rood: TsjechiŽ, blauw: BrazilliŽ. Afbeelding: PowerDNS.
Waarom erin verwerken als de legenda eronder staat ?

Aantal domeinnamen met dnssec. Oranje Nederland, rood: TsjechiŽ, blauw: BrazilliŽ. Afbeelding: PowerDNS.
Alsof ik dat niet heb gezien...

Dan nog zie je een rechte lijn bij die 2 landen terwijl in de bron duidelijk wordt dat die op het einde stijgen/dalen...

[Reactie gewijzigd door watercoolertje op 7 augustus 2012 12:28]

Alsof ik dat niet heb gezien...

Dan nog zie je een rechte lijn bij die 2 landen terwijl in de bron duidelijk wordt dat die op het einde stijgen/dalen...
Prima, dan haal ik 'm toch weg. Ook weer opgelost.
als je echt interesseert bent altijd de bron lezen (en de bron daar van) tot je bij het origineel bent.
ook tweakers gebruikt journalisten die gewoon mensen zijn.
en dus ook fouten kunnen maken of een verkeerde interpretatie kunnen geven.

altijd "gezond kritiesch" blijven.
waarheid ligt meestal in het midden. :)
Ik heb op school statistiek gehad en je hebt gelijk. Tegenwoordig zie je allerhande grafieken die niet volgens de regels zijn gemaakt.
De aantallen kloppen dus ook niet van TsjechiŽ en BraziliŽ in de loop van de tijd in ieder geval. Nederland lijkt zo wel de enigste die stijgt... geeft een krom beeld inderdaad
Grappig dat ze dit nu als groot nieuws bekent maken. Terwijl ze eigenlijk tot mei van dit jaar ver achterop zaten. Zelfs hier in Belgie is het al sinds september 2010 ingevoerd. En laat nu Belgie (zeker de laatste jaren) geen koploper zijn met nieuwe technologieen op het net.

Ik vind echter niet hoeveel van de 1.3milj be domeinen via dnssec gaan. Ter vergelijking zijn er volgens sidn 5milj nl domeinen geregistreerd.
Belgie was hier inderdaad heel snel mee, dat is op zich geen nieuws. Wat wel nieuws is, is het verbazend hoge tempo waarmee DNSSEC in NL wordt ingevoerd.
Ondersteuning is denk het ik het grootste probleem. Neem bijvoorbeeld de controlpanels zijn ook niet voorbereid of zijn nog bezig met de implementatie. Alles valt en staat hiermee. Natuurlijk heeft het alleen zin als de DNS servers het ondersteunen of niet.

SIDN wil alles voor zijn en biedt daarom gewoon korting, wel mooie manier om proces te versnellen qua implementatie. Je ziet wat er anders gebeurd met IPV6.
De meeste DNS-servers ondersteunen het tegenwoordig wel, dat hoeft geen probleem te zijn. Die controle-panelen zijn wat meer werk, maar uiteindelijk heb je niet zo veel user-interface nodig, in de meeste gevallen kun je met een simpel 'aan/uit' vinkje toe en een knopje om je key te exporteren.
Een grote stimulans voor de hosters / domeinboeren om DNSSEC door te voeren is dat dit een verlichting van hun maandelijkse lasten betekent. SIDN geeft namelijk korting op domeinnamen als je DNSSEC ondersteunt ;).

Deze korting is 0.07 cent per domein per kwartaal. Snel rekensommetje leert als je 100.000 domeinen hebt dat je dit 28.000 op jaarbasis bespaart! Toch mooi meegenomen :)

Bron: (Let op, dit is op de een of andere manier de print-weergave?)
https://www.sidn.nl/print...l-domeinnamen-met-dnssec/

[Reactie gewijzigd door Enfer op 7 augustus 2012 13:35]

Maar Tweakers.net heeft nog geen DNSSEC?
Het mooiste van DNSSEC is toch meer de mogelijkheden die het voor de toekomst gaan bieden. Bv een extra check die zaken zoals het Diginotar-debakel had kunnen voorkomen:
http://webwereld.nl/nieuw...volgende--diginotar-.html

Met enig geluk is deze stap, ook een stap dichterbij het aan de kant zetten van CA's, die nu de wereld van de SSL grotendeels in handen hebben, en dan niet op de beste manier, zoals we bij Diginotar wel gezien hebben.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Microsoft Windows 10 Pro NL

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True