Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Overgang DNSSEC op rootzone succesvol verlopen

  • Door
  • Edwin Feldmann
  • geplaatst op
  • 7 mei 2010 08:04 uur

De overgang van de dertien DNS-rootservers naar het DNSSEC-protocol lijkt vooralsnog zonder grote problemen te zijn verlopen. De operatie is echter nog niet helemaal afgerond.

Woensdag 5 mei is de laatste rootzone overgegaan op het Deliberately Unvalidatable Root Zone (DURZ). Dit betekent dat de root zone is voorzien van DNSSEC-signature. Bij de andere delen van de rootzone werd DURZ eerder dit jaar, vanaf januari, al geïmplementeerd. Vanaf 1 juli moet de extra veilige laag op de root DNS servers helemaal actief zijn.

Door de rootzone, dat als het ware het kloppende hart van het internet vormt, te voorzien van DNSSEC, wordt het gebruik van internet veiliger. Zo vormt het onder meer een maatregel tegen spoofing en DNS caching.

De overgang naar DNSSEC kan overigens wel problemen veroorzaken bij enkele organisaties, dat was althans vooraf de verwachting. Zo zullen firewalls en interne DNS-servers aangepast moeten worden en zou daarbij iets fout kunnen gaan. Maar vooralsnog zijn er weinig problemen aan het licht gekomen, aldus DNSSEC.net.

De hele DNSSEC root-operatie wordt uitgevoerd door de ICANN en VeriSign en staat onder begeleiding van het Amerikaanse ministerie van Handel.

Marco, 7 mei 2010 8:21 am

Een kleine aanvulling: je schrijft 'bij andere delen van de rootzone...', maar dat is niet helemaal correct. Er is uiteraard maar 1 echte rootzone, alleen is die geleidelijk over de verschillende root name servers voorzien van DNSSEC. Afgelopen maandag was de j.root-servers.net, de laatste van de 13, aan de beurt. De in de rootzone gepubliceerde DNSKEY's zijn bewust onbruikbaar gemaakt (probeer maar eens met een 'dig +dnssec DNSKEY . @a.root-servers.net'), zodat de digitale handtekeningen (RRSIG's) nog niet zijn te valideren. Dat wordt de volgende stap in het root signing project.

En mensen, vergeet het niet, DNSSEC gaat alleen werken als ook de resolvers meedoen, dus wellicht moet je aan je eigen kant ook het e.e.a. upgraden en/of configureren.

Mark, 9 mei 2010 6:09 pm

Overigens werken IDN TLDs nu ook (ten minste de eerste).

Japje, 10 mei 2010 10:28 am

Vraag me af wanneer deze DNSSEC ready servers gebruikt worden voor de amplification attack 'feature' in DNSSEC:

http://dnscurve.org/amplification.html

UDP pakketje sturen van 36 bytes met een gespoofed IP adres en het gespoofde adres krijgt een reply van 3995 bytes.

Marco, 10 mei 2010 3:02 pm

Japje, ja dat is een risico van DNSSEC, zeker zolang ISP nog maar matig filteren tegen address-spoofing.

http://www.faqs.org/rfcs/bcp/bcp38.html

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.