- Door
- Randy ten Have
- geplaatst op
- 23 juli 2009 08:03 uur
De SIDN heeft begin deze maand DNSSEC (Domain Name System Security Extensions) ingevoerd op de ENUM-zone. Voor de .nl-zone zal DNSSEC later ingevoerd worden, nadat operationele ervaring is opgedaan met de ENUM-zone. Daarnaast moeten verschillende operationele issues worden opgelost, iets waar SIDN samen met een aantal andere registries aan werkt.
In het huidige DNS-protocol zit een aantal kwetsbaarheden, waaronder man-in-the-middle attacks en cache poisening. De meest complexe en veilige oplossing om deze kwetsbaarheden op te lossen is de grootschalige introductie van DNSSEC. DNSSEC is echter geen oplossing voor phishing en typosquatting. DNSSEC voor een zone invoeren (tier1) heeft beduidend minder impact dan het signeren van de domeinnamen in die zone met DNSSEC (tier 2). Als domeinnamen gesigneerd worden, zullen ook registrars, DNS-resolvers bij Internet Service Providers, nameserver service providers en domeinnaamhouders handelingen moeten verrichten. Hierdoor zullen de kosten voor al deze partijen stijgen.
Roelof Meijer, CEO SIDN: “Wij zijn erg blij met deze eerste stap op weg naar een succesvolle invoering van DNSSEC voor de ENUM-zone. De .nl-zone is, met bijna 3,5 miljoen .nl-domeinnamen, veel groter dan de huidige ENUM NL-zone en ook het belang ervan is veel groter. Daarmee is de invoering van DNSSEC voor de .nl-zone dan ook geen sinecure. De operationele complexiteit hangt namelijk sterk af van de grootte van de zone en het aantal betrokken partijen. Daarom vinden wij het uitermate belangrijk dat een aantal operationele issues eerst op wordt gelost en dat de DNSSEC-processen voor het grootste deel worden geautomatiseerd. Wij leveren hier uiteraard onze bijdrage aan, onder andere binnen de IETF en ICANN. Door nu voor ENUM al DNSSEC in te voeren doen we hiermee ervaring op die straks de .nl-zone ten goede zal komen.”