Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

Een derde van de .nl-domeinen is inmiddels beveiligd via het dnssec-protocol. Dat maakte de Stichting Internet Domeinregistratie Nederland maandag bekend. Dnnssec voorkomt onder meer man in the middle-aanvallen.

SIDN meldde maandag via Twitter dat een derde van de Nederlandse domeinen inmiddels over het protocol beschikt. Het gaat op het moment van schrijven om ruim 1.856.000 domeinen, terwijl er ruim 5.494.000 domeinen zijn, is te lezen op de site van de stichting.

De implementatiegrens werd deze maand gepasseerd; in juli waren er nog 1.766.000 domeinen die over dnssec beschikken. Een jaar geleden was dat aantal in die maand 1.518.000. Uit de statistieken van SIDN blijkt dat de implementatie sinds 2012 gestaag verloopt.

SIDN begon in 2012 met het gebruik van het dnssec-protocol op .nl-domeinnamen, wat de veiligheid van het dns-systeem flink moest vergroten. Met de invoering wilde de stichting een antwoord bieden op de toenemende roep om betere beveiliging van het dns-protocol, omdat er in het verleden diverse scheurtjes in het bouwwerk zichtbaar waren. Tweakers publiceerde hierover eerder een achtergrondverhaal.

Dnssec is ontwikkeld als aanvulling op het dns-protocol en moet de kwetsbaarheden in dat protocol verhelpen. Zo moeten cache poisoning en man in the middle-aanvallen worden voorkomen. Dnssec koppelt het antwoord op een dns-query aan een digitale handtekening, om zo de authenticiteit te kunnen controleren.

Moderatie-faq Wijzig weergave

Reacties (39)

Heel mooi dat het zo goed gaat. Nederland is met ruime marge koploper in de wereld, geen enkel land kan hier aan tippen.

Helaas bestaat DNSSEC uit twee delen, publiceren en controleren (valideren in DNSSEC-speak). Waar we wat publicatie betreft koploper zijn lopen we een beetje achter als het om het controleren van de DNSSEC-informatie gaat.

Het goede nieuws is dan wel weer dat steeds meer DNS-resolvers by default DNSSEC aan hebben staan. Langzaam maar zeker komt het dus vanzelf goed. Gelukkig ben je voor het valideren van DNSSEC niet afhankelijk van je provider of domeinboer. Iedereen die dat wil kan zelf een DNS-resolver installeren en DNSSEC aan zetten.

Lange tijd dufden veel providers het niet aan. Als hun resolvers een domein zouden weigeren op grond van DNSSEC dan zouden hun klanten de provider de schuld geven. "Via provider X werkt het niet, maar bij mij thuis werkt het wel. Dan is provider X stuk." Tegenwoordig heeft Google echter DNSSEC aan staan op de publieke resolvers. Dat heeft de discussie een stuk makkelijker gemaakt. "Google vindt dat je domein niet werkt" is een heel sterk argument.

Ohja, geen topic over DNSSEC is compleet zonder DNSViz te noemen. Op die site kun je op eenvoudige, grafische, wijze zien wat een bepaald adres met DNSSEC doet en wat er mis is. bv http://dnsviz.net/d/www.sidn.nl/dnssec

[Reactie gewijzigd door CAPSLOCK2000 op 25 augustus 2014 21:01]

Hier heb je nog een aardige howto hoe je DNSSEC validerende resolvers opzet met Unbound (voor FreeBSD, die onlangs gekozen heeft voor Unbound ten koste van Bind):

http://www.prado.it/2012/...alidation-on-freebsd-9-0/
En via deze link kan iedereen eenvoudig controleren of hij/zij al tegen een validerende resolver aan praat (zoals Google Public DNS):

http://dnssectest.sidnlabs.nl/
Tweakers nog niet (volgens link), waarom niet? Of is het meer iets voor banken enzo?
ING.nl ook nog niet. Dus ik denk dat er iets anders de volgorde bepaald?
Geen enkele bank gebruikt DNSSEC. Kan nog leuk worden bij de verantwoordelijk bij bijv dns poisson.
Banken zijn afschuwelijk conservatief en enorm op de cent. Ze hebben wel een grote bek maar als puntje bij paaltje komt valt het allemaal wat tegen. IPv6 hebben de meeste niet. SSL is maar matig, PFS doet geen van de grote banken en een paar van de grote jongens doen nog niet eens TLS 1.2. HSTS is meer een uitzondering dan de regel.

Wacht maar niet op de banken, die doen pas mee als ze moeten.
Is natuurlijk ook deels terrecht. Bij security is nieuwer niet altijd beter.

Zo zijn hun SSL machines vaak hardware acceletators met de SSL-private key buiten de software. FS en TLS 1.2 zijn leuk, maar puur technisch gezien bieden ze geen meerwaarde tov een goede TLS 1.0 implmentatie zonder FS. Immers een goede TLS 1.0 met AES128 is onkraakbaar. Meer onkraakbaar (FS, 256bit AESTLS 1.2) is dan leuk maar strikt gezien niet nodig.

Op de cent is het probleem meestal niet, want hun opstelling is meestal duurder dan een gewone ISS of Apache server.

Elke verandering is immers een risico, en banken zijn terrecht extreem wantrouwig voor zelfs maar het kleinste theoretische risico.
Ondanks dat liggen de telebankier sites er om de haverklap uit. Vaker dan mijn hobbysite.

Banken hebben geen excuus om geen DNSSEC te gebruiken. Het gaat om een handjevol bytes in een DNS-server. Er hoeft niks voor ontwikkeld te worden. Je moet alleen goed snappen waar je mee bezig bent, maar ik denk dat je die investering wel van een bank, die miljoenen winst maakt, wel mag verwachten.
Stabiliteit heeft er in deze niets mee te maken. Dat men veel storingen heeft is waar, maar dat zijn niet de security delen waar CAPSLOCK2000 naar refereerde met zijn SSL/TLS onderdelen.

(In zekere zin juist een bevestiging wat wat ik schreef daar dat de onderdelen zijn waar banken de laatste 2 jaar wl heel veel gewijzigd hebben en wl de laatste nieuwe technieken gebruiken. Denk aan de touch interface van ABN-AMRO.)

Verder zijn de gevaren van het niet DNSSEC gebruiken redelijk beperkt. MITM aanvallen worden vaak aangehaald, maar zijn in de echte wereld heel erg zeldzaam, en bovendien ook te voorkomen door zaken als HSTS, hetgeen bijvooebeeld de meeste (alle?) Nederlandse banken gebruiken.

Elke minieme wijziging van de kernsoftware die de security raakt is een kans op een fout. Een fout van een software configurator, nog niet ontdekte fout in de gebruikte software (zeker omdat banken vaak custom software gebruiken) of wellicht zelfs protocol.

Even omschakelen is er niet bij aangezien dat er een legioen aan nieuwe testen en gecertificering gedaan moet worden. Dat handjevol bytes kan moeiteloos tot extreme fouten leiden. Kans is extreem klein, maar gevolgen in zo'n geval extreem groot en dus doet men het enkel als er een voordeel is.

Dat is precies het verschil tusen een gewone ICT'er die graag de nieuwste zaken wilt, en een security expert die de laatste bewezen veilige software wil. Die laatste loopt vaak 10 jaar of zo achter, maar loopt wel minder risico bij een heartbleed ontdekking.
Off-topic:

een poisson is een vis in het Frans, je doelt op poison :P

On-topic:

Banken hebben dermate sterke versleuteling dat het niet per direct een probleem is. Als een hacker via DNS een server weet te bereiken en besmetten betekent dit nog niet dat de gegevens ook daadwerkelijk gevaar lopen. Die gewapende betonnen muur van encryptie is voor nu voldoende blijkbaar.
Banken zijn prima beschermd tegen bankrovers, maar dat is niet wat er met DNS-poisoning bedoeld wordt en waar DNSSEC tegen beveiligd. DNS-poisoning wordt gedaan om klanten naar de verkeerde webserver te sturen waar aanvallers een nep-bank-site draaien. Op die manier proberen ze je geheime codes af te troggelen*. Daar helpt DNSSEC prima tegen.


* de beter aanvallers doen vervolgens een man-in-the-middle-aanval zodat zelfs een random-reader je niet kan redden.

[Reactie gewijzigd door CAPSLOCK2000 op 26 augustus 2014 00:55]

@elsegre
.net heeft ook gewoon ondersteuning voor DNSSEC. Of bedoel je dat .net niet met dit artikel te maken heeft?

@ADQ
Waarschijnlijk wegen de voordelen niet op tegen de kosten. Of ze zijn er mee bezig. Er is geen volgorde want je "krijgt" het niet. Je moet een DNS-server (nameserver) met ondersteuning voor DNSSEC installeren en configureren. Of en wanneer je dit doet moet de eigenaar van het domein zelf bepalen.

[Reactie gewijzigd door Naxiz op 25 augustus 2014 19:15]

wel raar dat dit adres het niet heeft. http://www.dnssec.net/
Da's inderdaad wel raar. Maar kan ook dat je DNS-hoster die mogelijkheden gewoon niet biedt.
Omdat het een .net domain is.
Onzin, mijn .net domeinen allen op dnssec...
Ja maar daar gaat deze nieuwspost verder niet over h ;)
Ai, klopt. Ging al fout bij soldaatje en zeker bij elsegre :?
Maar het artikel gaat over .nl domeinen. Dus geen onzin.
Zijn statement was zeker onzin. En off topic.
Hoe kan ik zien of mijn domeinnamen hiervan voorzien zijn? Tijdje terug bij Leaseweb neergelegd maar die ondersteunde het toen nog niet en heb nooit een update gekregen dat ze het inmiddels wel doen.
Op https://www.dnssec-validator.cz/ zijn plugins te downloaden voor diverse browsers
Probleem is dat er genoeg ISP's zijn die het niet ondersteunen. Ik heb diverse domeinnamen geregistreerd staan via Versio, maar zij ondersteunen simpelweg nog geen DNSSEC. Dus dan heb je ook weinig keuze of je je domein wel of niet beveiligd met DNSSEC (behalve naar een andere ISP gaan die wel DNSSEC aanbiedt)
Inderdaad. Stemmen met je portemonnee dus. Of hen een vriendelijk bericht sturen dat je overweegt weg te gaan omdat zij deze feature nog niet ondersteunen terwijl jij daar veel waarde aan hecht.
Laten we ook even eerlijk zijn. .nl registrars krijgen flinke kortingen van SIDN als ze DNSSEC aan zetten. De motivatie vanuit hun kant is dus ook: geld.

Ohja, ik werk bij een registrar waar we zo'n 200.000 .nl-domeinen beheren. De motivatie was er daar wel om DNSSEC uit te rollen. Heel lastig is het overigens ook niet als je PowerDNS gebruikt.
Ik vind het een enorm slimme actie van SIDN. Voor een relatief klein bedrag hebben ze een enorme verandering weten te kickstarten. Ze hadden tien keer meer geld aan voorlichting en promotie kunnen uitgeven zonder ook maar in de buurt van dit resultaat te komen.
Het probleem ligt is niet het protocol, maar aan BIND.

http://cr.yp.to/djbdns/forgery.html
Bernstein is een intelligente man. Maar de bron die je aanhaalt is 12 jaar oud. Denk je niet dat BIND dat inmiddels opgelost heeft?
5 jaar tops, het refereert nog naar 2009.
Als je het stuk leest, zie je dat het gaat om hoe BIND is opgebouwd en hoe het wordt onderhouden. Aan het HOE van BIND is niets veranderd…
waarom duurt dit zo lang??
het is geen taalgrapje, het is gewoon een spelfout waar lednov correct op reageert ;).

het moet "n derde .nl domeinen beschikt over DNSSEC" (gezien DNSSEC ook een afkorting is moet het in hoofdletters :+ )
het moet eigenlijk "En" zijn. Op hoofdletters mag je geen accenten neerzetten (alhoewel niet iedereen daarmee eens is, maar volgens taaladvies is En dan alsnog een uitzondering).

https://onzetaal.nl/taala.../accenten-op-hoofdletters
Sterker nog, het moet 'eenderde' zijn. Mits je de spellingsregels in het Witte Boekje hanteert :)
Voor leuk/grappig mag je nog steeds een +1 geven.
Zie de moderatie FAQ :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True