Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Uitvinder DNS: Ik heb een fundamentele fout gemaakt

  • Door
  • Arnout Veenman
  • geplaatst op
  • 18 augustus 2008 08:03 uur

Uitvinder DNS: Ik heb een fundamentele fout gemaaktPaul Mockapetris, uitvinder van het Domain Name System (DNS) vindt dat hij een structurele fout heeft gemaakt bij de ontwikkeling van het DNS. Tijdens de ontwikkeling van het DNS waren Mockapetris en zijn team zo bezig met het werkend krijgen van het systeem, dat er geen aandacht was voor het inbouwen van beveiliging. Mockapetris noemt die keuze een fundamentele fout.

Daarnaast stelt Mockapetris over het DNS-lek dat door Dan Kaminsky werd ‘ontdekt’ enkel een snellere variant op een lek dat al veel langer bekend is. Het feit dat vrijwel alle leveranciers van DNS-servers patches hebben uitgebracht om het probleem op te lossen is nog niet genoeg. Volgens Mockapetris is het gebruik van het DNS op dit moment vergelijkbaar met Russische roulette en moet er een oplossing worden gevonden om “de kogel uit het pistool te halen”.

Volgens Mockapetris is DNSSEC een oplossing voor de huidige problemen met het DNS. Echter zal de implementatie er van niet makkelijk zijn, DNSSEC levert namelijk de gewenste veiligheid, maar “het papierwerk” voor elkaar krijgen is een tweede. Daarmee doelt Mockapetris waarschijnlijk op wie de master-key krijgt, waarmee de root zonefile moet worden gesigneerd. Wie de master-key heeft, kan elke domeinnamen signeren, met goede maar ook met slechte bedoelingen. De Amerikaanse oveheid heeft al aangegeven de master-key te willen hebben, maar BraziliĆ«, China en ook de Europese Unie zien dat niet zitten.

De politieke discussies rondom DNSSEC beginnen nu toch een probleem te worden. Wat mij betreft zou een ICANN, dat volledig onafhankelijk van de Amerikaanse overheid functioneert, de master-key moeten krijgen. Zolang die discussie voortduurt zouden individuele registry operators zelf hun rootzones met een eigen key moeten signeren, net zoals de ccTLD operators van Braziliƫ, Bulgarije, Puerto Rico en Zweden en ook PIR (het .org-registry) dat al doen.

Daarnaast is het ook zaak dat DNSSEC door zoveel mogelijk DNS servers en clients wordt ondersteunt en dat hosters zich voorbereiden om DNSSEC in hun producten integreren en hun eigen DNS-records ook signeren zodra de belangrijkste registries DNSSEC ondersteunen.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.