Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Icann heeft laten weten dat een meerderheid van de beschikbare topleveldomeinen op internet inmiddels is beveiligd via het dnssec-protocol. Desondanks stelt de organisatie dat er nog een lange weg te gaan is voordat alle dns-servers van dnssec zijn voorzien.

In een blogposting van Icann toont een grafiek de snelle groei van het dnssec-protocol: sinds oktober 2013 is het aantal topleveldomeinen dat is beveiligd via dns-servers met een geïmplementeerde dnssec-uitbreiding flink gestegen en bijna verdubbeld tot circa 210 tld's. Volgens Icann is de groei mogelijk gemaakt dankzij de uitrol op enkele belangrijke tld's. Daarbij noemt de non-profit organisatie specifiek Nederland en Zweden. De implementatie in Nederland voor .nl-domeinen was al in mei 2012 voltooid door SIDN.

Ondanks de snelle groei van dnssec-implementaties stelt Icann dat er nog een lange weg te gaan is voordat iedere internetgebruiker en domeinhouder kan profiteren van de extra beveiligingslaag. Desondanks denkt de organisatie dat de opmars van dnssec niet meer is te stuiten en uiteindelijk voor alle topleveldomeinen beschikbaar zal komen.

Dnssec is ontwikkeld als aanvulling op het dns-protocol en moet cache poisoning en man in the middle-aanvallen onmogelijk maken. Dnssec koppelt het antwoord op een dns-query aan een digitale handtekening, om zo de authenticiteit te kunnen controleren. Dns-servers worden hiertoe voorzien van een public key cryptography-systeem: dns-informatie over een domein wordt ondertekend met een private key, zodat gebruikers met een publieke sleutel kunnen verifiëren dat er niet met de informatie is gerommeld.

groei van dns-sec

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (17)

Het is niet toevallig dat de start van de groei exact samenvalt met de eerste 'nieuwe gTLD' in de root eind oktober. Sindsdien zijn er 100+ nieuwe extensies in de root opgenomen, die naar ICANN-verplichtingen allemaal DNSSEC ondersteunen.

Of DNSSEC ook gebruikt wordt is een veel interessantere vraag. In Nederland absoluut voornamelijk vanwege een aantal grote registrars die de financiële incentive van SIDN interessant vinden. In het buitenland heerst er zeer grote drempel om DNSSEC te gebruiken. Ik heb geen cijfers bij de hand nu, maar het zou me niets verbazen als .nl met 1.7 miljoen DNSSEC-signed domeinen de helft van alle gesignde zones wereldwijd in handen heeft. En op 250+ miljoen domeinen wereldwijd is het aandeel DNSSEC-signed zones verre van deze 50%.

Met statistiek kan je alles aantonen :).
Helaas wordt er nog maar weinig gebruik gemaakt van deze technologie. ING, ABN-AMRO, Rabobank, SNS bank, DigiD, Nu.nl, Tweakers.net doen allemaal niet aan DNSSEC. SIDN doet het wel (of course).

Waarom banken het niet doen is me een raadsel. Het kost niks, behalve wat technische kennis en onderhoud. Maar dat moet voor een organisatie met duizenden medewerkers en en tig miljard op de bank niet zo'n probleem zijn.
moet man in the middle aanvallen onmogelijk maken?
Is dat ook echt zo?
Data welke aan een netwerk, ongeacht welk netwerk, hangt is en blijft altijd te kraken. Maar met de huidige middelen duurt dat érg lang of het is érg duur. Maar geef het een jaar of 10. "Onmogelijk" is het nooit.
Dat was inderdaad ook mijn eerste gedachte.
Vandaar mijn vraag.
DNSSEC is eigenlijk het zelfde als Public Key Infrastructure Root signed >> NL >> Nu >> www

Zodat je zeker weet dat het IP dat in de DNS staat voor www.nu.nl juist is. DNSSec is puur het signen van DNS data en geeft GEEN encryptie. En op dit moment maken geen client's gebruik van DNSSec alleen DNS Servers.
Tenzij je gebruik maakt van een plugin in je browser zoals deze: dnssec-validator.cz (voor Firefox, Chrome en IE).
Als je "volledig" beschermt wil zijn (tenminste meer dan alleen je browser), zal je een eigen recusor moeten draaien op je machine die dnssec validatie doet.
Daar heb je dan weer Unbound voor.
Grappig krijg gelijk een cert warning op die site
Ze gebruiken een CACert certificaat. Dat root certificaat zit standaard niet in browsers (helaas).
Helaas heeft DNS SEC wel gezorgd voor een enorme toename in het aantal DNS amplification attacks, dat vergeten ze even te vertellen.
Nee, ze hebben de private encryptiesleutels in handen, deze mogen ze vragen om te overhandigen voor de "publieke veiligheid" (in de VS, dan). De theorie achter de encryptie is echter watervast.
Elke operator van tlds heeft z'n eigen keys, deze zijn bekent en je kan die dus zelf opnemen in je recursor ter voorkoming van een MitM via/manipulatie van de rootservers. Je mag toch hopen dat de nationale operators voldoende ruggegraat hebben.
Ik ben mischien pietluttig maar het protocol groeit niet, het gebruik er van wel.

"de snelle groei van het dnssec-protocol"
moet waarschijnlijk zijn:
"de snelle groei in het gebruik van het dnssec-protocol"

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True