- Door
- Arnout Veenman
- geplaatst op
- 24 juli 2008 08:02 uur
De recente exploit die vrijwel alle DNS-servers heeft getroffen laat duidelijk de noodzaak zien voor DNSSEC, een protocol waarmee de DNS beveiligd doordat de zonefile door het registry wordt gesigneerd.
Tijdens de afgelopen ICANN meeting in Parijs heeft het ICANN bestuur het Public Interest Registry (PIR), dat verantwoordelijk is voor de werking van het .org-registry, toestemming gegeven om DNSSEC uit te rollen voor het .org-domein.
Daarmee is het .org-domein de eerste gTLD dat met behulp van DNSSEC gesigneerd wordt. Al gingen enkele ccTLD domeinen het .org-domein al voor, zo zijn de zonefiles van ondermeer de Braziliaanse (.br) en Zweedse (.se) ccTLD’s al langer met behulp van DNSSEC gesigneerd.
Lance Wolak, marketing manager van PIR stelt in een blogpost dat PIR niet alleen zelf DNSSEC op wil pakken maar roept ook andere partijen die met DNS te maken hebben op om werk te maken van DNSSEC en samen met PIR te zorgen voor een soepele uitrol van DNSSEC.
Zoals al aangegeven toont de recente DNS exploit aan dat DNS een fundamentele zwakte heeft. Tot nu toe was DNS (cache) poisoning nog niet zo’n probleem, maar cybercriminelen blijven zoeken naar de zwakke plekken in de beveiligingsketen.
Des te hoger het niveau van beveiliging op andere punten dan de DNS, des te interessanter het wordt om de nu vrijwel onbeveiligde DNS aan te vallen. Door het gebruik van DNSSEC kunnen we voorkomen dat de DNS de zwakste schakel wordt in de beveiligingsketen.