DNSSEC algemeen
DNSSEC voegt een extra beveiligingslaag toe aan het DNS-protocol. DNSSEC kan door alle registrars en internet service providers (ISP’s) aan hun klanten aangeboden worden.
DNS-protocol
Het Domain Name System (DNS) zorgt voor de vertaling van domeinnamen naar IP-adressen (en vice versa). Zo moet je computer een nameserver raadplegen voor het adres www.justhost.nl alvorens contact te kunnen zoeken met de webserver op het IP-adres 185.140.218.81. Maar ook e-mail en andere internet-protocollen maken gebruik van dit systeem.
Toevoeging DNSSEC
DNSSEC is een cryptografische beveiliging voor het DNS-protocol. Clients die deze uitbreiding ondersteunen, ontvangen van de nameserver adres-informatie voorzien van een digitale handtekening. Zo worden de integriteit van de nameserver en het transport van de DNS-informatie beschermd.
DNSSEC is voorwaarts compatibele. Dat wil zeggen dat nieuwe clients en servers voorzien van DNSSEC-ondersteuning gewoon blijven samenwerken met bestaande systemen die deze uitbreiding nog niet ondersteunen, zij het dat in die gevallen de DNS-informatie niet ondertekend is.
Het DNSSEC-protocol
Bij gebruik van DNSSEC ontvangt de client van de nameserver adres-informatie die is voorzien van een digitale handtekening. De authenticiteit van deze records kan gecontroleerd worden met behulp van de publieke sleutel voor dit domein. Deze wordt door de houder (via zijn registrar) één niveau hoger bij de registry in de DNS-hiërarchie geplaatst. Voor een .nl-domeinnaam staat de publieke sleutel dus op de nameservers van SIDN, de beheerder van het .nl top-level domein.
De sleutel wordt voor clients beschikbaar gesteld in de vorm van een hash code. Daarmee kan een client verifiëren dat de publieke sleutel die hij bij de adres-informatie van de nameserver ontvangt inderdaad dezelfde is als die door de houder of beheerder van de domeinnaam bij het trust anchor is aangemeld. Zo wordt een ‘keten van vertrouwen’ (chain of trust) over de verschillende niveau’s van de DNS-hiërarchie opgebouwd.
De implementatie van DNSSEC
Is het beheer van de DNS-informatie ondergebracht bij een registrar of een internet service provider, dan moeten zij hun domeinen ondertekenen en de publieke sleutels via hun administratieve interface uploaden naar de registry.
Doet men het beheer van de DNS-informatie zelf — dat wil zeggen dat men eigen DNS-servers heeft staan — dan begint de implementatie met het genereren van een cryptografisch sleutelpaar. De private sleutel wordt gebruikt om de records te ondertekenen. De publieke sleutel moet men via het administratieve dashboard van de registrar of internet service provider uploaden naar de registry.
De winst van DNSSEC
Internet wordt steeds meer gebruikt als een basis voor de opslag van waardevolle informatie en het uitvoeren van financiële transacties. Denk aan online boekhouden, internetbankieren en afrekenen in webshops. Weet een kwaadwillende de DNS-informatie op de nameserver, onderweg of bij de client te veranderen, dan kan hij de internetgebruiker naar een identieke maar valse webserver sturen. Op die manier kunnen vertrouwelijke gegevens, wachtwoord en omzet worden gestolen. DNSSEC beschermt de nameserver en het transport van de DNS-informatie. Daarmee wordt internet veiliger voor zowel gebruikers als online ondernemers.
