Uitrol van dnssec op root zone afgerond

De eerste digitale handtekening voor de dertien voornaamste serverclusters in de dns-hiërarchie van internet is uitgegeven. De stap moet het begin markeren van een veiliger root zone met volledige dnssec-implementatie.

De uitrol van DNS Security Extensions moet een man-in-the-middle-aanval voorkomen. Onder andere moeten de cache poisoning-aanvallen tot het verleden gaan behoren. Bij deze aanvallen werden internetters op dns-niveau doorgesluisd naar malafide sites. Voor volledige beveiliging dienen wel alle schakels vanaf de rootservers in de dns-hiërarchie en de servers van top-leveldomeinen tot de cacheservers die de uiteindelijke site voorschotelen op dnssec te zijn overgestapt.

Bij de root zone is die overstap zeven maanden geleden ingezet. De dertien rootservers zijn in mei feitelijk al overgestapt op dnssec, maar de Icann heeft nu ook een zogenaamde trust anchor gepubliceerd. Daarmee kan de uitwisseling van geldige certificaten of digitale handtekeningen voor de verificatie van dns-data beginnen.

"De uitgifte van de handtekening voor de root is de katalysator die nodig is voor de verdere uitrol van dnssec, vooral in de tld registries", zegt Paul Vixie, ceo van het Internet Systems Consortium. ISC is de beheerder van F-root, de grootste dns root-server.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 17-07-2010 13:37
27 • submitter: begintmeta

17-07-2010 • 13:37

27

Submitter: begintmeta

Lees meer

29 mrt 2012

Dnssec: voor het laatste onveilige protocol

61
Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Nederland loopt voorop met veilige dns-versie
Nederland loopt voorop met veilige dns-versie Nieuws van 7 augustus 2012
Verisign en FBI halen .com-domeinnaam neer
Verisign en FBI halen .com-domeinnaam neer Nieuws van 1 maart 2012
VeriSign ondertekent .com-domein met dnssec-protocol
VeriSign ondertekent .com-domein met dnssec-protocol Nieuws van 1 april 2011
Ook .info-zone krijgt veilig dnssec-protocol
Ook .info-zone krijgt veilig dnssec-protocol Nieuws van 25 augustus 2010
SIDN ondertekent .nl-zone met dnssec-protocol
SIDN ondertekent .nl-zone met dnssec-protocol Nieuws van 24 augustus 2010
Dns-rootservers gaan op 5 mei over op dnssec
Dns-rootservers gaan op 5 mei over op dnssec Nieuws van 3 mei 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
VeriSign gaat dnssec-protocol invoeren op tld's
VeriSign gaat dnssec-protocol invoeren op tld's Nieuws van 17 november 2009
Rapport SURFnet wijst op noodzaak invoering dnssec
Rapport SURFnet wijst op noodzaak invoering dnssec Nieuws van 12 februari 2009
Icann keurt gebruik dnssec voor .org-domeinen goed
Icann keurt gebruik dnssec voor .org-domeinen goed Nieuws van 23 juli 2008
'Veel dns-systemen nog vatbaar voor aanvallen'
'Veel dns-systemen nog vatbaar voor aanvallen' Nieuws van 20 november 2007
Uitvinder DNS pleit voor beveiligingsverbeteringen
Uitvinder DNS pleit voor beveiligingsverbeteringen Nieuws van 12 april 2003
Meer producten en artikelen
Internettoegang Computers Internet Beveiliging Webserver

Reacties (27)

-Moderatie-faq
27
27
11
2
0
7
Wijzig sortering
Cruz 17 juli 2010 13:46
Als het goed is gaat .nl (SIDN) over een maand ook over op DNSSEC, waarmee een .nl domein via DNSSEC beveiligd kan gaan worden.

DNSSEC is al een tijdje mogelijk maar het probleem zit hem in de trust hierarchy. Nu de root 'gesigned' is, hoeven resolvers maar 1 sleutel te hebben om alle getekende DNS antwoorden te controleren.

De oude situatie was dat voor elke zogenaamde 'trust anchor' een sleutel in de resolver nodig was. Die ook nog eens periodiek kan worden gewijzigd door de beheerder van de zone.

Met het tekenen van de root wordt de DNSSEC implementatie dus een stuk eenvoudiger! Nu is het zaak dat ook clients (denk aan Firefox en Windows/Linux) en resolvers (ISP DNS server) iets met DNSSEC gaan doen.

PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND' ;)

[Reactie gewijzigd door Cruz op 31 juli 2024 05:37]

zeroxcool @Cruz17 juli 2010 14:15
Je had natuurlijk DLV, wat alle islands of trust samenbond, (tijdelijk) een hele vooruitgang.

Vind de term 'grootste dns root-server' beetje raar klinken. Immers, iedere root-server zou even groot moeten zijn, qua zone grootte. Denk dat ze de meeste root-server nodes beheren...


Overigens blijf ik DNSSEC een enorm complex protocol vinden, die nog steeds te veel problemen met zich meebrengt. Denk aan amplification attacks, replay attacks, etc. etc. Maar goed, wat wil je met een design periode van meer dan 15 jaar(!), waarin tweemaal opnieuw begonnen is. Om nog maar te zwijgen over de complexiteit van het NSEC3 RR. Het grootste probleem wat dit op zou moeten lossen (NSEC walking) is nog steeds mogelijk, alleen offline. Wat het nog minder detectable maakt.

Persoonlijk - okay, ik ben een beetje subjectief op dit vlak - had ik graag wat meer interesse vanuit de IETF willen zien voor Bernstein's DNSCurve. Een simpel, open en duidelijk protocol. Overigens ligt er een draft bij de IETF die het beschrijft. Heb echter niet heel veel hoop dat dit ooit echt een goed geaccepteerd alternatief wordt.

[Reactie gewijzigd door zeroxcool op 31 juli 2024 05:37]

Anoniem: 292224 @Cruz17 juli 2010 14:25
Alleen moeten dan de deelnemers (registrars) van de SIDN ook hun DNS server inrichten met DNSSEC. En daarbij moet je client (Windows, Mac OSX) het ook ondersteunen natuurlijk.

Edit:
Google's DNS resolver ondersteund DNSSEC, zie http://code.google.com/in...ublic-dns/faq.html#dnssec

[Reactie gewijzigd door Anoniem: 292224 op 31 juli 2024 05:37]

zeroxcool @Anoniem: 29222417 juli 2010 15:12
Als je goed leest zie je dat Google het wel ondersteunt (nou ja, ze ondersteunen EDNS en dus impliciet de DO-flag). Ze doen echter geen validation/verification. Wat inhoudt dat ze gewoon een doorgeefluik zijn.

Mocht jij een DNSSEC query doen voor bijvoorbeeld www.nic.se (welke DNSSEC enabled is - .se is dat echter nog niet, althans niet in de root), dan krijg je gewoon een regulier recursive antwoord terug. Vraag je echter expliciet naar een RRSIG of DNSKEY RR voor deze zone, dan kun je zelf je verification doen. Echter, dit ondersteunt waarschijnlijk iedere ISP caching name server... Niet heel speciaal dus.

[Reactie gewijzigd door zeroxcool op 31 juli 2024 05:37]

webkiller71 @Cruz17 juli 2010 14:17
PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND' ;)
En dhcp is een redelijk veelgebruikte dhcp daemon. En Paul Vixie is misschien ook bekend van vixie-cron.
wootah 17 juli 2010 13:41
Netjes, en niemand heeft last er van gehad, dus dat is helemaal goed :D
Freeaqingme @wootah17 juli 2010 13:45
Nouja, de mensen waarbij 't niet meer werkt die komen niet op internet om te klagen :D
wootah @Freeaqingme17 juli 2010 18:07
Naja, er zullen vast wel zulke nerds bij zitten die de ip adressen van hun favorite sites uit hun hoofd kennen :P

Maar in ieder geval beter dat ze uiteindelijk een veiliger systeem hebben.
mxcreep @wootah17 juli 2010 21:47
Laat dat ip adressen verhaal dan vaak niet werken dankzij name based virtual hosting :)

[Reactie gewijzigd door mxcreep op 31 juli 2024 05:37]

DinX @mxcreep17 juli 2010 22:29
Mwa, er zijn nog diehards: GoT nieuw IP-adres? :P
macnerd @DinX17 juli 2010 23:59
Nog simpeler dan een lokale DNS-server is de domeinnaam in je hosts-file zetten... werkt prima als noodoplossing en een is stuk makkelijker.

Uiteraard moet je niet vergeten het er weer uit te halen als de problemen voorbij zijn, want anders verhuis je niet mee als de webserver een nieuw IP-adres krijgt. Al geldt dat ook voor een lokale DNS-server ;)
johnkeates @macnerd18 juli 2010 13:40
Ehm.. dat is waar het over ging.
PBX_g33k @mxcreep18 juli 2010 23:25
Als je de IP adres van een domeinnaam opslaat in de host bestand van Windows kom je daar wel mee verder :)
Prototype666 @Freeaqingme17 juli 2010 16:36
*dubbel* _/-\o_
Anoniem: 120372 @wootah17 juli 2010 20:27
Ik heb me hier eigenlijk helemaal niet in verdiept, maar dit doet me sterk vermoeden dat die root servers dan niet op windows draaien als dat allemaal zonder problemen is verlopen.
macnerd @Anoniem: 12037218 juli 2010 00:02
Sowieso draait het internet voor een belangrijk deel op UNIX, Linux, BSD en aanverwante besturingssystemen.
johnkeates @macnerd18 juli 2010 13:43
Precies.. je gaat toch geen windows gebruiken in een omgeving waar je zelf in beheer moet zijn? Dat zou niet erg slim zijn..

Bovendien heb je geen GUI nodig op een server, een server moet serveren. En verder niks. Bijna alle windows-versies/varianten/opties/smaken komen verplicht met een gui.
Er was dan dacht ik een versie zonder GUI, maar bij windows kan je dan een stuk minder dacht ik, dat is ook niet handig met een server.

Ik vraag me trouwens af waarom Despo als "Ongewenst" gemodereerd wordt, waarom is het ongewenst om aan te nemen dat iets niet op windows werkt? Windows is niet heilig of iets dergelijks, dacht ik?
.oisyn Moderator Devschuur®
@johnkeates19 juli 2010 12:25
Het is ongewenst omdat onnodig de conclusie wordt getrokken dat met Windows er wel problemen opgetreden zouden hebben, wat nergens op is gebaseerd. Dat maakt de reactie een beetje een troll.

[Reactie gewijzigd door .oisyn op 31 juli 2024 05:37]

Anoniem: 365069 17 juli 2010 14:18
Super, en gelukkig heeft niemand er problemen aan ondervonden.
StarWars 17 juli 2010 14:45
Ik denk dat het inderdaad handig is voor de mensen die wat bij willen leren via Tweakers.net dat er wellicht meer afkortingen voluit geschreven kunnen worden bv tussen haakjes erachter, wellicht met een link naar meer uitleg.

Ik begrijp dat er een nieuwe beveiligingsprotocol is maar toch leest het stukje, ook voor mij, niet lekker. Ik zou er meer uit willen halen.
Prototype666 @StarWars17 juli 2010 16:38
off-topic:
is er op tweakers niet zon systeem dat je een mouseover kan maken bij afkortingen met uitleg? ik meen me te herinneren dat hier ooit gezien te hebben, kom op modjes, gebruik het :D

als dat er niet is, leuk idee om te implementeren :9
johnkeates @Prototype66618 juli 2010 14:00
Je bedoelt het ABBR html tag'je.
CAPSLOCK2000
@StarWars17 juli 2010 23:12
Op zich heb je misschien gelijk maar wat dit specifieke onderwerp betreft heb je gewoon pech. DNSSEC (vooruit: domain name system security) is dusdanig comlex dat je het als leek toch niet gaat snappen. Het artikeltje geeft op zich een prima uitleg over wat dnssec is maar je hebt gewoon een stevige basis nodig om het onderwerp te kunnen begrijpen.
bouwfraude 17 juli 2010 14:31
Goh, er is geen woord Nederlands bij aan dit stukje.
THX @bouwfraude17 juli 2010 14:35
LOL inderdaad!! Het viel me niet eens op, kun je nagaan hoe de Van Dale er over een aantal jaren uitziet...
johnkeates @THX18 juli 2010 14:00
Als we gewoon nederlands afschaffen.. "I love you" klinkt toch beter dan "Ik vind je lief".

Boven zou het anders ook niet goed komen met vertalingen..

"man-in-het-midden-aanval" .. nah.
pentode 17 juli 2010 16:56
Een plaatje in dit geval een video zegt meer dan 1024 woorden.
ICANN video highlighting last week's historical DNSSEC key signing ceremony

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq