VeriSign ondertekent .com-domein met dnssec-protocol

VeriSign heeft het dnssec-protocol ingevoerd op het .com-domein. De veiligere versie van het dns-protocol is al ingevoerd op een aantal top-level-domeinen, zoals .nl, .be, .org en .net. Met dnssec worden 'man-in-the-middle'-aanvallen bemoeilijkt.

Met de aankondiging van VeriSign is het grootste tld voorzien van dnssec, de veiligere versie van het dns-protocol. De .edu- en .net-tld's, die ook door VeriSign worden beheerd, werden vorig jaar al voorzien van dnssec, evenals .nl, .be en .info. Het .org-domein was het eerste generieke tld dat van het dnssec-protocol werd voorzien.

Dnssec verhelpt een aantal kwetsbaarheden in het dns-protocol, dat stamt uit een tijd dat nodes in een netwerk ervan uit konden gaan dat andere servers van goede wil waren. Dankzij dnssec kunnen dns-resolvers met ondersteuning voor het protocol controleren of antwoorden op dns-query's daadwerkelijk afkomstig zijn van de server waarmee contact is gezocht. Het antwoord van een dns-server wordt ondertekend met een geheime sleutel, die alleen bij de dns-server bekend is. Met een openbare sleutel kan worden gecontroleerd of de ondertekening valide is. Deze manier van beveiliging, 'public key cryptography', wordt ook vaak toegepast om e-mail te versleutelen of de afzender van een bericht te controleren.

Dnssec bemoeilijkt het uitvoeren van man-in-the-middle-aanvallen via het dns-protocol. Daarbij doet de server van een aanvaller zich voor als de dns-server en kunnen requests van bezoekers worden doorgeleid naar andere pagina's. Ook 'cache poisoning' moet worden voorkomen. Bij cache poisoning sturen hackers valse dns-antwoorden naar een dns-server, waardoor ze bezoekers naar hun eigen server kunnen sturen.

Door Joost Schellevis

Redacteur

Feedback • 01-04-2011 11:43 22

01-04-2011 • 11:43

22

Lees meer

29 mrt 2012

Dnssec: voor het laatste onveilige protocol

61
Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Nederland loopt voorop met veilige dns-versie
Nederland loopt voorop met veilige dns-versie Nieuws van 7 augustus 2012
Hackers kraakten VeriSign-systemen in 2010
Hackers kraakten VeriSign-systemen in 2010 Nieuws van 2 februari 2012
Verisign verhoogt prijzen .com- en .net-domeinen
Verisign verhoogt prijzen .com- en .net-domeinen Nieuws van 18 juli 2011
Ftp bestaat veertig jaar
Ftp bestaat veertig jaar Nieuws van 16 april 2011
Onderzoek: https-verbinding veel websites niet veilig genoeg - update
Onderzoek: https-verbinding veel websites niet veilig genoeg - update Nieuws van 10 november 2010
Ook .info-zone krijgt veilig dnssec-protocol
Ook .info-zone krijgt veilig dnssec-protocol Nieuws van 25 augustus 2010
SIDN ondertekent .nl-zone met dnssec-protocol
SIDN ondertekent .nl-zone met dnssec-protocol Nieuws van 24 augustus 2010
Uitrol van dnssec op root zone afgerond
Uitrol van dnssec op root zone afgerond Nieuws van 17 juli 2010
Dns-rootservers gaan op 5 mei over op dnssec
Dns-rootservers gaan op 5 mei over op dnssec Nieuws van 3 mei 2010
SIDN neemt nieuw domeinregistratiesysteem in gebruik
SIDN neemt nieuw domeinregistratiesysteem in gebruik Nieuws van 16 maart 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
Google begint publieke dns-dienst
Google begint publieke dns-dienst Nieuws van 4 december 2009
VeriSign gaat dnssec-protocol invoeren op tld's
VeriSign gaat dnssec-protocol invoeren op tld's Nieuws van 17 november 2009
Meer producten en artikelen
Internettoegang Politiek en recht Internet Beveiliging Domeinnaam

Reacties (22)

-Moderatie-faq
22
22
16
1
0
5
Wijzig sortering
The_Worst 1 april 2011 12:18
Mooi dat dnssec wordt uitgerold maar is dit slechts voor DNS-servers onderling of ook iets voor de eindgebruiker? Moet je internetprovider hier ook ondersteuning voor bieden op hun dns-server? Moet je als eindgebruiker nog iets instellen of installeren of biedt Windows 7 dit automatisch aan?
Xorsist @The_Worst1 april 2011 20:10
De rootservers zijn 15 juli 2010 over gegaan op DNSSEC en nu volgen de diverse TLD's. Indien je van DNSSEC gebruik wilt maken zal eerst je provider ondersteuning moeten bieden. [bron]
Als eindgebruiker zul je onder windows 7 een en ander in moeten stellen wil je gebruik kunnen maken van DNSSEC. Hier kun je de nodige informatie vinden hoe dit binnen een LAN opgezet moet worden.
Op de client zal het gebruik van DNSSEC zolang de provider het niet ondersteund nog enige tijd op zich laten wachten.
Matthijs8 @Xorsist1 april 2011 20:20
Dank je, bedoel je met je provider echt dat je provider ondersteuning moet bieden of dat hun DNS servers ondersteuning moeten bieden en je dus zelf een andere DNS server kan kiezen die al wel ondersteuning biedt?
CAPSLOCK2000
@Matthijs81 april 2011 22:05
Je moet een DNS-server gebruiken die het ondersteund. Als je provider dat niet doet kun je zelf een andere server instellen en die gebruiken. (Tweakers draaien uiteraard hun eigen DNS server met DNSSEC ondersteuning).
Matthijs8 @The_Worst1 april 2011 19:59
Ben hier ook benieuwd naar, iemand die wat uitleg kan geven?

Trouwens relatief weinig reacties op dit artikel, zou dat komen omdat meer mensen er het fijne niet van weten?
CAPSLOCK2000
@The_Worst1 april 2011 22:10
In principe is dit iets dat helemaal door de DNS-servers onderling geregeld kan worden. Als jij een DNS-server gebruikt die het ondersteund is het goed.

Maar... als gebruiker wil je eigenlijk wel iets van feedback zodat je weet dat het werkt (of niet). Dat is lastiger, software daarvoor bestaat eigenlijk niet. Voor zover ik weet is de dnssec-firefox-plugin de enige software die iets met DNSSEC doet waar normale stervelingen ook iets mee kunnen.
Lennie @CAPSLOCK20004 april 2011 12:14
Dat klopt wel aardig.

En de dnssec-firefox-plugin is niet een veiligheids-feature, meer een soort 'show-case'.

De grootste uitrol problemen zitten waarschijnlijk bij die stomme DSL-routers, etc. die zelf proberen DNS te doen.

Die ondersteunen dit allemaal nog niet.

Het zou goed zijn als de uitrol bij de access, dns, hosting providers nu eerst op gang komt, dat is nog nauwelijks het geval.
CAPSLOCK2000
@Lennie4 april 2011 20:50
En de dnssec-firefox-plugin is niet een veiligheids-feature, meer een soort 'show-case'.
Inderdaad, je kan er absoluut niet op vertrouwen. Het enige waar je op kan vertrouwen is dat je DNS-server het ondersteund (of dat beweert). Daarmee loopt het ongeveer 10.000 keer voor op al het andere (nouja, met uizondering van dig).
darkfader @The_Worst2 april 2011 02:32
Op een lokaal netwerk zijn er natuurlijk ook andere manieren can MiTM attacks, waaronder ARP (en DHCP routing). Dus ik denk dat het voorlopig niet zo heel veel zin heeft om het bij de end-user te implementeren. Gebruik SSL als je een veilige verbinding wilt.
boelensman1 1 april 2011 11:46
Worden "man-in-the-middle" aanvallen dan vaak uitgevoerd? Ik dacht altijd dat het erg lastig was zo'n aanval op te zetten en uit te voeren.
Jonas! @boelensman11 april 2011 11:50
Nooit geen last gehad van het feit dat je naar een pagina surft & 5 seconden later wordt je doorgesluisd naar een totaal andere pagina, die niets te maken heeft met wat jij opzocht?! (volgens mij is dit wat men bedoelt).

Verder nog: Ik vindt dat ze zulk nieuws niet publiek moeten maken. Laat zulke individuen dit zelf ondervinden, nu ga je eigenlijk zulke hackers laten weten dat hun oude methodes niet meer gaan werken & ze vanaf nu op zoek kunnen gaan naar andere. Dit vergemakkelijkt hun werk eigenlijk imo.
ronn0 @Jonas!1 april 2011 11:52
Half waar, hiermee wordt bedoeld dat de gehele pagina niet geladen wordt denk ik. Waar jij het over hebt is vaak een JavaScriptje die een redirect toevoegt aan de pagina.
sumac @Jonas!1 april 2011 12:14
Jij vindt dat ze zulk nieuws niet publiek moeten maken? Ze zullen wel moeten, want heel veel providers zullen hun systemen hiervoor aan moeten passen. Zelfs oudere routers thuis kunnen hierdoor in de problemen komen. Genoeg redenen om dit wel te doen.

Trouwens, het zijn criminelen die hier misbruik van hebben gemaakt, dus het was allang bekend in die kringen. En nu zou het publiek niet mogen weten dat er een oplossing voor is? Beetje kromme redenering van je...
ILUsion @Jonas!1 april 2011 15:02
Ooit gehoord van Kerchkhoff's Principle of Shannon's Maxim? Dat laatste zegt "de vijand kent het systeem" (en Kerckhoff zegt iets zeer gelijkaardigs). Dit zijn gekende stellingen in de cryptografie die duidelijk maken dat security by obscurity (hoe dat onder IT-specialisten genoemd wordt), geen goed idee is.

Als je systeem werkelijk veilig is, kan je de broncode in alle details publiceren, zonder de sleutels die gebruikt geweest zijn is het met huidige technieken onwaarschijnlijk dat er problemen ontstaan. Door "security by obscurity", heb je een onveilig systeem misschien een jaar extra schijnveiligheid gegeven terwijl je met een systeem waarvan de werking gekend is, je veel meer vertrouwen kan hebben in de veiligheid. Alle zware cryptografische toepassingen worden in die gemeenschap namelijk zwaar getest: onder cryptografen bestaat er de concurrentiedrang om je eigen algoritme uit te brengen en dat van een ander zo goed mogelijk op de rooster te leggen.

Als je ooit een cryptografisch algoritme doorwoorsteld hebt, zal je weten dat zelfs met de implementatie erbij, het niet simpel is om enerzijds de werking compleet te kunnen volgen en anderzijds is het nog veel moeilijker om er zwakheden in te vinden, zelfs voor ervaren cryptografen is dat een serieuze kluif.

DNSSEC heeft het trouwens geen security by obscurity nodig voor zover ik weet; waarom zouden we dan angstvallig alles verborgen houden? Als het systeem veilig is, hebben we daarmee geen winst gedaan. Als het onveilig is, zal het sowieso wel ten val komen (en wat mij betreft liever morgen dan over een jaar).
TheNephilim @boelensman11 april 2011 11:49
In bijvoorbeeld een school-netwerk stelt dit niks voor! Bijvoorbeeld met de software Cain & Abel was dit al makkelijk te doen.
MaffeMaarten @TheNephilim1 april 2011 11:56
Haha, dat heb ik ook zitten doen op ons school netwerk, tijdens de les over de verschillende OSI layers, docent kon er wel om lachen toen, dat een klasgenoot van ons niet meer naar de avans-site kon, omdat ie dan op "een andere" site uitkwam.

(Weet ik is alleen maar DNS-spoofing) en geen MITM, MITM was ook niet moeilijk, maar dat deden we met apr-spoofing, allemaal best te doen)

Maar ik ben wel benieuwd of je niet gewoon zelf een ondertekende sleutel voor "ikwordtgehacked.com" op kan vragen en die dan vervolgens naar "alice" kan sturen als alice om "ikwilbankzakendoen.com" vraagt.

Waarschijnlijk wordt het ondertekend met de domeinnaam plus het ip dat erbij hoord, plus de sleutel.
stijnislike 1 april 2011 12:00
Bij een "man-in-the-middle" aanval wordt de data tussen twee servers opgevangen en aangepast en weer doorgestuurd alsof er niks gebeurd is, als de ontvangen server dit niet door heeft dan is dit gelukt. Een gebruiker hoeft dus niet veel hiervan te merken. Dit is een technische manier om deze aanval uit te bannen, goed iets, zoiets zou niet eens mogelijk moeten zijn.
Lennie @stijnislike4 april 2011 12:09
Of tussen client en server.

Maar DNS is al heel oud en mag dus wel een veiligheids upgrade krijgen.

Hier een poging tot uitleg over DNS en zijn problemen:

http://www.ripe.net/lir-services/training/e-learning/dnssec
Clueless 1 april 2011 12:11
Apart dat het nu pas gebeurt. Zelf dacht ik dat ze dit al deden of was dat alleen met de dns root servers?
Lennie @Clueless4 april 2011 12:11
Ja, root was gesigned. En NL was ook al een jaar gesigned, maar nog niet beschikbaar voor 'het publiek'.

De eerste grootte TLD die gesigned was, is .org.

.net was ook al een tijdje gesigned. .com is vooral heeel groot en dus lastig(er) te signen.
High-Voltage2 1 april 2011 18:25
En wat als nu een valselijke publieke sleutel in omloop gebracht wordt waardoor de man in het midden alsnog via zijn eigen sleutel de boel kan ondertekenen en dus de gegevens kan aanpassen?
elmuerte @High-Voltage21 april 2011 22:01
"Web of trust" kan dat tegen werken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq