Icann: dnssec-implementatie passeert grens van 50 procent

Icann heeft laten weten dat een meerderheid van de beschikbare topleveldomeinen op internet inmiddels is beveiligd via het dnssec-protocol. Desondanks stelt de organisatie dat er nog een lange weg te gaan is voordat alle dns-servers van dnssec zijn voorzien.

In een blogposting van Icann toont een grafiek de snelle groei van het dnssec-protocol: sinds oktober 2013 is het aantal topleveldomeinen dat is beveiligd via dns-servers met een geïmplementeerde dnssec-uitbreiding flink gestegen en bijna verdubbeld tot circa 210 tld's. Volgens Icann is de groei mogelijk gemaakt dankzij de uitrol op enkele belangrijke tld's. Daarbij noemt de non-profit organisatie specifiek Nederland en Zweden. De implementatie in Nederland voor .nl-domeinen was al in mei 2012 voltooid door SIDN.

Ondanks de snelle groei van dnssec-implementaties stelt Icann dat er nog een lange weg te gaan is voordat iedere internetgebruiker en domeinhouder kan profiteren van de extra beveiligingslaag. Desondanks denkt de organisatie dat de opmars van dnssec niet meer is te stuiten en uiteindelijk voor alle topleveldomeinen beschikbaar zal komen.

Dnssec is ontwikkeld als aanvulling op het dns-protocol en moet cache poisoning en man in the middle-aanvallen onmogelijk maken. Dnssec koppelt het antwoord op een dns-query aan een digitale handtekening, om zo de authenticiteit te kunnen controleren. Dns-servers worden hiertoe voorzien van een public key cryptography-systeem: dns-informatie over een domein wordt ondertekend met een private key, zodat gebruikers met een publieke sleutel kunnen verifiëren dat er niet met de informatie is gerommeld.

groei van dns-sec

IT-banen

Reacties (17)

sjroorda 25 januari 2014 10:46

Het is niet toevallig dat de start van de groei exact samenvalt met de eerste 'nieuwe gTLD' in de root eind oktober. Sindsdien zijn er 100+ nieuwe extensies in de root opgenomen, die naar ICANN-verplichtingen allemaal DNSSEC ondersteunen.

Of DNSSEC ook gebruikt wordt is een veel interessantere vraag. In Nederland absoluut voornamelijk vanwege een aantal grote registrars die de financiële incentive van SIDN interessant vinden. In het buitenland heerst er zeer grote drempel om DNSSEC te gebruiken. Ik heb geen cijfers bij de hand nu, maar het zou me niets verbazen als .nl met 1.7 miljoen DNSSEC-signed domeinen de helft van alle gesignde zones wereldwijd in handen heeft. En op 250+ miljoen domeinen wereldwijd is het aandeel DNSSEC-signed zones verre van deze 50%.

Met statistiek kan je alles aantonen

marcelvb

24 januari 2014 20:19

Helaas wordt er nog maar weinig gebruik gemaakt van deze technologie. ING, ABN-AMRO, Rabobank, SNS bank, DigiD, Nu.nl, Tweakers.net doen allemaal niet aan DNSSEC. SIDN doet het wel (of course).

Waarom banken het niet doen is me een raadsel. Het kost niks, behalve wat technische kennis en onderhoud. Maar dat moet voor een organisatie met duizenden medewerkers en en tig miljard op de bank niet zo'n probleem zijn.

Audi-Arjan 24 januari 2014 17:04

moet man in the middle aanvallen onmogelijk maken?
Is dat ook echt zo?

DigitalExorcist @Audi-Arjan • 24 januari 2014 17:07

Data welke aan een netwerk, ongeacht welk netwerk, hangt is en blijft altijd te kraken. Maar met de huidige middelen duurt dat érg lang of het is érg duur. Maar geef het een jaar of 10. "Onmogelijk" is het nooit.

Audi-Arjan @DigitalExorcist • 24 januari 2014 17:09

Dat was inderdaad ook mijn eerste gedachte.
Vandaar mijn vraag.

eddie4nl @Audi-Arjan • 24 januari 2014 19:30

DNSSEC is eigenlijk het zelfde als Public Key Infrastructure Root signed >> NL >> Nu >> www

Zodat je zeker weet dat het IP dat in de DNS staat voor www.nu.nl juist is. DNSSec is puur het signen van DNS data en geeft GEEN encryptie. En op dit moment maken geen client's gebruik van DNSSec alleen DNS Servers.

marcelvb

@eddie4nl • 24 januari 2014 20:12

Tenzij je gebruik maakt van een plugin in je browser zoals deze: dnssec-validator.cz (voor Firefox, Chrome en IE).

Dorank @marcelvb • 24 januari 2014 21:03

Als je "volledig" beschermt wil zijn (tenminste meer dan alleen je browser), zal je een eigen recusor moeten draaien op je machine die dnssec validatie doet.

marcelvb

@Dorank • 25 januari 2014 01:01

Daar heb je dan weer Unbound voor.

Verwijderd @marcelvb • 26 januari 2014 09:10

Grappig krijg gelijk een cert warning op die site

marcelvb

@Verwijderd • 27 januari 2014 13:18

Ze gebruiken een CACert certificaat. Dat root certificaat zit standaard niet in browsers (helaas).

mkools24 @Audi-Arjan • 25 januari 2014 04:02

Helaas heeft DNS SEC wel gezorgd voor een enorme toename in het aantal DNS amplification attacks, dat vergeten ze even te vertellen.

beerendlauwers @halofreak1990 • 24 januari 2014 17:20

Nee, ze hebben de private encryptiesleutels in handen, deze mogen ze vragen om te overhandigen voor de "publieke veiligheid" (in de VS, dan). De theorie achter de encryptie is echter watervast.

Dorank @beerendlauwers • 24 januari 2014 21:12

Elke operator van tlds heeft z'n eigen keys, deze zijn bekent en je kan die dus zelf opnemen in je recursor ter voorkoming van een MitM via/manipulatie van de rootservers. Je mag toch hopen dat de nationale operators voldoende ruggegraat hebben.

gjmi 27 januari 2014 12:20

Ik ben mischien pietluttig maar het protocol groeit niet, het gebruik er van wel.

"de snelle groei van het dnssec-protocol"
moet waarschijnlijk zijn:
"de snelle groei in het gebruik van het dnssec-protocol"

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (17)

Sorteer op:

Weergave: