VeriSign gaat dnssec-protocol invoeren op tld's

VeriSign heeft aangekondigd het dnssec-protocol ook voor .com-, .edu- en .net-top level domain names te zullen invoeren. Dnssec zou de kwetsbaarheden in het dns-protocol moeten verhelpen en zo de kans op misbruik moeten verkleinen.

De invoering van het dnssec-protocol door VeriSign in samenwerking met Icann zou uiterlijk maart 2011 voltooid moeten zijn, waarbij het momenteel gaat om 80 miljoen .com-domeinen en 15 miljoen .net-domeinen. Voor de uitrol van dnssec voor sites met een .edu-extensie, het tld dat door Amerikaanse onderwijsinstellingen wordt gebruikt, zoekt VeriSign samenwerking met Educause, de non-profit organisatie die de .edu-domeinen beheert. VeriSign zal in samenwerking met de Amerikaanse overheid ook dnssec toepassen op de twee rootservers die het in zijn beheer heeft.

Eerder werd dnssec al uitgerold door de Public Interest Registry-beheerder op het .org-tld. In Nederland is Sidn verantwoordelijk voor de invoering van dnssec op .nl-domeinen. Hoewel de organisatie begin dit jaar aankondigde dat het verbeterde dns-protocol in de loop van 2009 ingevoerd zou worden, liet Sidn in oktober weten dat door 'operationele en technische problemen' de invoering langer zal gaan duren.

De implementatie van dnssec op de dns-servers die VeriSign en andere organisaties beheren, lijkt broodnodig. Volgens een onderzoek van de firma Infoblox is het aantal kwetsbare dns-servers gevoelig voor cache poisoning, de kwetsbaarheid die begin 2008 bekend werd, de afgelopen jaar met 27 procent gestegen. In totaal zou bijna 80 procent van alle dns-servers nog zonder dnssec werken doordat het aantal dns-servers sterk is blijven groeien. Door de langzame overgang naar dnssec houden kwaadwillenden de mogelijkheid om onder andere ddos-aanvallen uit te voeren en eindgebruikers ongemerkt naar schadelijke websites te lokken.

Door Dimitri Reijerman

Redacteur

Feedback • 17-11-2009 10:38 8

17-11-2009 • 10:38

8

Lees meer

29 mrt 2012

Dnssec: voor het laatste onveilige protocol

61
Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Icann denkt komende twee jaar 500 nieuwe tld's uit te geven
Icann denkt komende twee jaar 500 nieuwe tld's uit te geven Nieuws van 20 september 2011
Icann laat merknamen toe in internetextensies
Icann laat merknamen toe in internetextensies Nieuws van 20 juni 2011
VeriSign ondertekent .com-domein met dnssec-protocol
VeriSign ondertekent .com-domein met dnssec-protocol Nieuws van 1 april 2011
VeriSign start met scannen naar malware op sites
VeriSign start met scannen naar malware op sites Nieuws van 20 juli 2010
Uitrol van dnssec op root zone afgerond
Uitrol van dnssec op root zone afgerond Nieuws van 17 juli 2010
Dot.com-tld viert 25e verjaardag
Dot.com-tld viert 25e verjaardag Nieuws van 15 maart 2010
'Icann moet nieuw besluit over invoering .xxx-domein nemen'
'Icann moet nieuw besluit over invoering .xxx-domein nemen' Nieuws van 24 februari 2010
Google wil dns-resolving efficiënter maken met locatiegegevens
Google wil dns-resolving efficiënter maken met locatiegegevens Nieuws van 29 januari 2010
Baidu klaagt Amerikaanse registrar aan
Baidu klaagt Amerikaanse registrar aan Nieuws van 20 januari 2010
SIDN anonimiseert whois-gegevens
SIDN anonimiseert whois-gegevens Nieuws van 12 januari 2010
Baidu.com-domein korte tijd gekaapt door Iraanse hackers
Baidu.com-domein korte tijd gekaapt door Iraanse hackers Nieuws van 12 januari 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
SIDN gaat volgend jaar deel whois-gegevens anonimiseren
SIDN gaat volgend jaar deel whois-gegevens anonimiseren Nieuws van 30 november 2009
Icann stelt verbod dns-redirection voor nieuwe tld's voor
Icann stelt verbod dns-redirection voor nieuwe tld's voor Nieuws van 30 november 2009
ICANN wil verdere discussie over nieuwe tld's
ICANN wil verdere discussie over nieuwe tld's Nieuws van 19 februari 2009
Rapport SURFnet wijst op noodzaak invoering dnssec
Rapport SURFnet wijst op noodzaak invoering dnssec Nieuws van 12 februari 2009
Icann keurt gebruik dnssec voor .org-domeinen goed
Icann keurt gebruik dnssec voor .org-domeinen goed Nieuws van 23 juli 2008
'Veel dns-systemen nog vatbaar voor aanvallen'
'Veel dns-systemen nog vatbaar voor aanvallen' Nieuws van 20 november 2007
VS wil controle over beveiligde dns-variant
VS wil controle over beveiligde dns-variant Nieuws van 4 april 2007
Uitvinder DNS pleit voor beveiligingsverbeteringen
Uitvinder DNS pleit voor beveiligingsverbeteringen Nieuws van 12 april 2003
Meer producten en artikelen
Internettoegang Netwerk Netwerk en systeembeheer Internet Beveiliging Domeinnaam Hackers

Reacties (8)

-Moderatie-faq
8
8
5
0
0
0
Wijzig sortering
Arjan_van_Rees 17 november 2009 10:55
Mooi dat dit nu voor de top level domains wordt toegepast en dat er verschillende initiatieven zijn om dit verder door te vertalen naar beneden. Wel jammer dat we bijna 2 jaar verder zijn voor er wat schot in zit... Ik vraag me af of het uberhaupt haalbaar is om alle DNS servers op deze manier te beveiligen. Lijkt me dat zolang het niet bij wet verplicht is, er altijd DNS hosts zullen zijn die dit uit kostenoverweging niet toepassen.

[Reactie gewijzigd door Arjan_van_Rees op 24 juli 2024 09:34]

Niemand_Anders
@Arjan_van_Rees17 november 2009 11:31
Net als SSL op website is dat een keuze van de beheerder. Echter met DNSSEC ligt de zaak iets ingewikkelder. Het heeft geen zin als een enkele host DNSSEC implementeerd. Een hacker zou immers nog steeds de DNS cache bij een provider kunnen 'aanpassen' waardoor het slachtoffer niet naar de juiste DNS server gaat. De DNS server van de hacker implementeert natuurlijk niet DNSSEC.

Echter als Verisign DNSSEC heeft geïmplementeerd, dan geef ik niet alleen mijn authoritive nameservers door an verisign, maar eveneens mijn public RSA key. Een dns lookup utility/library welke DNSSEC ondersteund kan dan het antwoord van de DNS server controleren doormiddel van de public key. Als dan een hacker claimt een authroritive nameserver te zijn kan deze nooit een response terug sturen met de juiste fingerprint (SHA-1 checksum) en daardoor weet de DNS client dat het antwoord incorrect is. De response van verisign is te controleren door de public RSA key welke verisign aan ICANN heeft doorgegeven. Een DNS client dient volgens een draft de icann key via tenmiste 3 rootservers op te halen. De kans dat een hacker 3 rootservers weet te hacken is vrijwel onmogelijk.

Eerder was er het probleem wie de master root key gaat beheren. Imiddels heeft ICANN die taak gekregen. Omdat ICANN de root key beheert kunnen ook op de root servers (welke dus aangeven dan Verigign de beheerder van .net en .com tld's is) DNSSEC geimplementeerd worden. Immers DNSSEC moet vanaf de top zijn geimplementeerd om effectief te zijn. Alleen dan kunnen alle responses van de rootservers (.) , tld servers (.com) en domein (example.com) dns servers gecontroleerd worden via de fingerprint.

Nu Verisign DNSSEC gaat implementeren zal het aantal DNS servers met DNSSEC toenemen.
zenlord 17 november 2009 11:51
Ik heb net dns.be even een mailtje gestuurd, en blijkbaar is men daar ook bezig met tests vooraleer de aankondiging van de omschakeling te gaan doen. Blijkbaar is er nog een probleem met de grote hoeveelheid cryptografische bewerkingen die moeten gebeuren en het beheer van de verschillende sleutels.
Trax_Digitizer 17 november 2009 11:53
Het duurt even, maar uiteindelijk starten ze dus toch met DNSSEC. Goede ontwikkeling als je het mij vraagt. Nu maar hopen dat iedereen met een DNS-server ook DNSSEC gaat implementeren, want ander lopen we nog steeds risico's.

Een tijdje terug schreef ik samen met een collega het volgende artikel in de Automatisering Gids: http://www.dennisbaaten.c...otocollen-zijn-gevaar.pdf. Daar gebruikten we het DNS protocol als voorbeeld om aan te geven dat de organisatorische complexiteit groot is, wanneer er een kwetsbaarheid in de specificatie van het protocol is ontdekt die niet herstelbaar is. Er dient dan overgestapt te worden naar een alternatief. En die overstap heeft eigenlijk alleen maar nut, als iedereen dat doet.

Ben heel benieuwd hoe dit verder gaat. Dat ze bij SIDN maar eens opschieten met de DNSSEC implementatie. :)
Verwijderd 17 november 2009 13:24
Volgens mij brengt DNSSEC wel heel veel werk met zich teweeg, ik weet niet of dit nog werkbaar is als "alle" DNS servesrs hiervan gebruik gaan maken.
Er is ook een alternatief -> DNSCURVE die makkelijker te implementern valt.
PJJ 17 november 2009 10:49
In totaal zou bijna 80 procent van alle dns-servers nog met dnssec werken doordat het aantal dns-servers sterk is blijven groeien. Door de langzame overgang naar dnssec houden kwaadwillenden de mogelijkheid om onder andere ddos-aanvallen uit te voeren en eindgebruikers ongemerkt naar schadelijke websites te lokken.


Is dit een foutje of lees / begrijp ik het verkeerd?
dsmink @PJJ17 november 2009 10:53
Ik vond het ook vreemd ja.. ik denk een foutje :)
Qwerty-273 @PJJ17 november 2009 10:55
In totaal zou bijna 80 procent van alle dns-servers nog niet met dnssec werken

tenminste dat verwacht ik.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq