SIDN, de stichting die het top-level-domein .nl beheert, is van plan om in augustus 2010 het dnssec-protocol in te voeren voor de .nl-zone. Dat is een maand nadat de internetrootservers op het veiliger protocol moeten zijn overgeschakeld.
Dnssec is ontwikkeld als aanvulling op het dns-protocol en moet de kwetsbaarheden in dat protocol verhelpen. Zo moeten cache poisoning en man in the middle-aanvallen worden voorkomen. Daartoe koppelt dnssec het antwoord op een dns-query aan een digitale handtekening, waardoor makkelijker kan worden gecontroleerd of de antwoorden van een server wel valide zijn. Dns-servers worden hiertoe voorzien van public key cryptography: met de private key wordt het domein gesigned, terwijl de gebruiker met de publieke sleutel kan controleren of het antwoord correct is.
Oorspronkelijk werd bericht dat SIDN verwachtte dnssec in 2009 te kunnen invoeren, maar dat dit door technische problemen niet haalbaar was gebleken. Woordvoerster Lieke Hoogeveen van SIDN stelt nu echter dat dat een misverstand was: er zou volgens haar nooit sprake zijn geweest van een invoering in 2009.
De overstap naar dnssec zal nu worden gemaakt zodra de dns-servers in de root-zone, die verwijzen naar de dns-servers van de tld's, ook zijn overgegaan. SIDN zal het protocol invoeren een maand nadat de rootservers een sleutel hebben gekregen, wat waarschijnlijk neerkomt op augustus 2010. Zodra de Icann toestemming geeft, zal de sleutel worden gepubliceerd op de root-dns-servers. Het is nog onbekend wanneer dit precies zal gebeuren. Overigens gaat het daarbij alleen om de .nl-zone; slechts de dns-servers van SIDN zullen dus worden beveiligd. De individuele domeinnamen volgen daarna, maar het is nog niet bekend wanneer.
Voor de invoering van dnssec op .nl-domeinen zou het registratiesysteem moeten worden aangepast; de publieke sleutels van een domeinnaam moeten dan namelijk bekend zijn bij SIDN. Ook het verhuisproces moet worden aangepast; als meerdere domeinnamen bij dezelfde provider een private key delen, kan die sleutel om veiligheidsredenen niet meeverhuizen naar de nieuwe hostingprovider. Hierdoor zal het domein tijdelijk onbereikbaar worden, tenzij hiervoor een oplossing wordt gevonden. Mogelijk wordt dnssec uitgeschakeld tijdens de verhuizing, of is extra actie van de oude provider vereist. Daarnaast zal er een manier van 'sleutelmanagement' bij providers en domeinnaamhouders moeten worden ingericht.
Het eerste tld dat gebruikmaakt van dnssec is .org, en vorige maand werd bekend dat VeriSign ervoor gaat zorgen dat ook de .com-, .edu- en .net-tld's van het protocol zullen worden voorzien. Dit zou uiterlijk maart 2011 voltooid moeten zijn.
:strip_icc():strip_exif()/i/1332957839.jpeg?f=fpa_thumb)
/i/1215606810.png?f=fpa)
/i/1201702988.png?f=fpa)
/i/1216839643.png?f=fpa)
:strip_exif()/i/1310990923.gif?f=fpa)
:strip_exif()/i/1059519197.gif?f=fpa)
:strip_exif()/i/1050432842.gif?f=fpa)
/i/1198048718.png?f=fpa)
:strip_exif()/i/1130263616.gif?f=fpa)
/i/1263287364.png?f=fpa)
:strip_exif()/i/1195226092.gif?f=fpa)
:strip_icc():strip_exif()/u/3572/mashell%2520avatar_klein.jpg?f=community){kind=avatar}
/u/99291/logo-square.png?f=community){kind=logo}
:strip_icc():strip_exif()/u/108871/Black%2520Owl%252060x60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/133746/avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/211182/chip-60x60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/140070/kalief.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/293542/crop6070183abc339_cropped.jpg?f=community){kind=small}
/u/331764/kerstavatar.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/160060/joost.jpeg?f=community){kind=small}
/u/10796/crop67bc88ff4132b.png?f=community){kind=small}
:strip_icc():strip_exif()/u/324107/crop66a657bef10a0_cropped.jpg?f=community){kind=small}
