SURFnet heeft een rapport gepubliceerd rondom het dnssec-protocol. De netwerkdienstverlener wil zo de kwetsbaarheid van het huidige dns-systeem onder de aandacht brengen bij onderwijsinstellingen en onderzoeksinstellingen.
Het rapport 'Hardening the Internet', dat werd opgesteld door SURFnet-technical manager Roland van Rijswijk, is mede geschreven naar aanleiding van de zogenaamde Kaminsky-aanval. Deze verfijnde aanvalsmethodiek besmet de cache van recursieve name servers. Hierdoor kunnen bijvoorbeeld surfers ongemerkt naar vervalste websites doorgestuurd worden en zijn in theorie ssl-certificaten te vervalsen. Het door Kaminsky ontdekte lek was weliswaar met een patch deels te verhelpen, maar toonde nog eens aan dat het huidige dns-systeem gedateerd en onveilig is.
De invoering van het beveiligingsprotocol dnssec moet op termijn de kwetsbaarheden van het dns-bewegwijzeringssysteem gaan verhelpen. Het nu vrijgegeven adviesrapport van SURFnet moet dienst gaan doen als voorlichtingsmateriaal voor onderwijsinstellingen, zo laat Van Rijswijk aan Tweakers.net weten. Dit zou nodig zijn omdat de overgang naar dnssec in Nederland nog te langzaam gaat, terwijl bijvoorbeeld de Amerikaanse .gov-domeinen sinds januari met het protocol overweg kunnen.
Volgens Van Rijswijk wordt de trage overgang naar dnssec deels veroorzaakt doordat de huidige software die benodigd is voor zaken als sleutelbeheer en het ondertekenen van domeinen, te veel kennis en tijd vergt. Deels moeten commerciële tools dit gaan verhelpen, maar Van Rijswijk wil op korte termijn ook een how-to gaan uitbrengen om veelgebruikte opensource dns-oplossingen als BIND met tools als OpenDNSSEC geschikt te maken voor dnssec. Daarnaast is het wachten op SIDN. De organisatie die het .nl-domein beheert, verwacht in de loop van 2009 te gaan implementeren.
