- Door
- Arnout Veenman
- geplaatst op
- 5 juni 2009 08:12 uur
ICANN en VeriSign gaan dit jaar zo snel als haalbaar de root zone van DNSSEC-ondersteuning voorzien. Het proces om de root zone te signeren met DNSSEC sleepte voort. De National Telecommunications and Information Administration (NTIA) heeft afgedwongen dat er op korte termijn een interim oplossing komt voor de DNSSEC ondersteuning van de root zone.
De details moeten nog worden uitgewerkt, maar wel is al afgesproken dat VeriSign interim de rol van het beheer en het gebruik van de Zone Signing Key (ZSK) op zich zal nemen. ICANN zal interim verantwoordelijk zijn voor de Key Signing Key(KSK). De ZSK die VeriSign beheert is de sleutel die daadwerkelijk wordt gebruikt voor het signeren van de root zone zelf. De ZSK wordt weer gesigneerd met behulp van de KSK die in beheer is van ICANN.
Het belang van het signeren van de root zone is van groot voor de onderliggende TLD’s die ook hun zones met DNSSEC willen signeren. Wanneer de root zone gesigneerd is hoeven alle DNS-resolvers maar één publieke sleutel bij te houden namelijk die van de root zone en hoeft niet elke TLD zijn eigen publieke sleutel te verspreiden. Uit een recent onderzoek van ENISA blijkt dat 29% van de providers het feit dat de rootzone niet gesigneerd is, als een belangrijke belemmering ziet voor de implementatie van DNSSEC.