Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 7 reacties

Provider Afilias gaat het dnssec-protocol invoeren op een aantal van de top-level domains die het beheert. Onder andere .info, .aero en een aantal land-tld's krijgen ondersteuning voor deze beveiligingsaanvulling op het dns-protocol.

Het .org-tld, waarvoor Afilias de technische diensten verleent, heeft al eerder het dnssec-protocol gekregen. Het .info-tld, waarvan Afilias de registry is, volgt in september, zo heeft het bedrijf nu bekendgemaakt. Andere tld's waarvoor Afilias de diensten levert, zoals .aero, .asia en de tld's van India en Montenegro, volgen later. Opmerkelijk genoeg meldt Afilias niets over .mobi, het andere tld waarvan het de registry is.

Het dnssec-protocol is een aanvulling op het dns-protocol, die tekortkomingen in dat protocol moet afdekken. Dnssec koppelt het antwoord op een dns-query aan een digitale handtekening, waarmee kan worden gecontroleerd of de antwoorden van de dns-server valide zijn. Zo moeten cache poisoning en man in the middle-attacks worden voorkomen. Eerder deze week werd bekend dat ook de .nl-zone op dnssec is overgestapt. Het .net-tld krijgt dnssec in september; in maart volgt het .com-tld.

Moderatie-faq Wijzig weergave

Reacties (7)

Even een heads-up voor diegenen die denken dat alle domeinen binnen de .nl en .info tld nu veilig zijn:

Je domein is niet automatisch veilig. De .nl tld is nu in staat dnssec authenticatie checks te doen, maar je zal je ISP moeten vragen je domein secure te maken. De ISP moet daarvoor wat infrastructuur-wijzigingen doen en het domein voorzien van een aantal extra records zoals je signature. Waarschijnlijk zullen niet alle ISP's dat nu al kunnen of willen, maar hoe meer vraag, hoe meer aanbod, me dunkt. ;)

Als je een domein hebt wat gebruikt wordt voor online bankieren of de uitwisseling van persoonsgegevens, dan lijkt het me een must om hier achteraan te gaan. :)

Mocht je ISP het lastig vinden dnssec te implementeren, dan kun je ze wijzen op opendnssec: http://www.opendnssec.org/
Waarom zouden niet alle TLD's gebruik gaan maken van dnssec? Zoals het hier gebracht wordt klinkt het als een exclusief dingetje, een gadget, terwijl het gewoon een verbeterd systeem is wat overal ingevoerd zou moeten worden.
Dat zal op termijn ook wel gaan gebeuren lijkt me, maar er zal vermoedelijk nog het nodige moeten worden aangepast bij de diverse registrars.

Zoals in het artikel over het .nl-domein al gemeld werd, moet (in dit geval) SIDN allerlei publieke sleutels hebben, én toestemming van de ICANN etc. Dat zal neem ik aan voor de overige TLD's ook wel gelden.

Daarnaast is het niet slim om meteen alle TLD's over te gaan zetten, je kan beter gefaseerd werken om te kijken of er toch niet ergens nog onvoorziene problemen optreden.
Dat zal uiteindelijk waarschijnlijk ook gebeuren. Het zal voornamelijk een kwestie zijn van het geschikt maken van de systemen en beheertools van de registry voor het verwerken van de cryptografische sleutels van registrars.
Het schiet wel lekker op zo. Nu nog iets dat gebruik maakt van DNSSEC....
Er is ergens een gepatchte Firefox te vinden, en dig/drill kunnen voor je controleren hoe het met de beveiliging staat maar buiten dat is er eigenlijk geen client software die iets met DNSSEC doet.
Zelfs als je zo'n gepatchte versie van Firefox hebt ben je er nog niet, het stukje van jouw computer naar de DNS-server van je provider is immers nog onbeveiligd, al zou je dat kunnen oplosen door een DNS-server op je pc te draaien.
De informatie van de DNS server kan worden geauthenticeerd, of het nou opgevraagd word door een client of een server.

De link van de server naar je PC hoeft niet beveiligd te zijn, een man in the middle kan geen valse informatie naar je sturen zolang ze de records niet kunnen ondertekenen ... waarvoor ze een prive sleutel nodig hebben die ze niet hebben (even aangenomen dat de authenticatie software op je PC niet ook aangepast is, en de originele publieke sleutels gebruikt).

PS. oops, bedoelde dit als reply op CAPSLOCK2000's post.

[Reactie gewijzigd door Pinkys Brain op 26 augustus 2010 01:38]

Maar het is wel mogelijk om de link tussen mijn DNS-server en mijn desktop te onderscheppen en daar je MITM aanval uit te voeren. Dan kan ik het verschil niet maken tussen een domein zonder DNSSEC of een gehacked domein.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True