- Door
- Arnout Veenman
- geplaatst op
- 18 juli 2013 08:11 uur
Mijndomein.nl en Monshouwer Internet Diensten hebben naar eigen zeggen een wereldwijde primeur door als eerste een met DNSSEC gesigneerde domeinnaam geautomatiseerd te verhuizen, waarbij de DNSSEC-informatie behouden is én de domeinnaam met DNSSEC beveiligd blijft. De domeinnaam dnssectransfer.nl was de eerste domeinnaam die op deze manier verhuisd werd.
In een blogpost van SIDN Labs, de researchafdeling van SIDN, werd vorig jaar al uitgelegd op welke wijze het mogelijk is om een domeinnaam met behoud van DNSSEC-signering te verhuizen tussen twee registrars. In de blogspost werd geconstateerd dat het op een veilige manier geautomatiseerd versturen van de publieke DNSSEC-sleutel (ZSK of zone signing key) van de nieuwe naar de oude registrar een obstakel was die het proces ingewikkeld maakte.
In 2012 is daarom een draft RFC opgesteld waarin is geregeld hoe via de registry, zoals SIDN voor het .nl-domeinnaam, de ZSK die de nieuwe registrar heeft aangemaakt, veilig kan worden verstuurd naar de oude registrar, waar de domeinnaam op dat moment nog geregistreerd staat. Afgelopen week is deze methode geïmplementeerd in het .nl-domeinregistratiesysteem dat SIDN beheert. Dit maakte deze manier van verhuizen van .nl-domeinnamen met behoud van de DNSSEC-signering mogelijk.
Redelijk eenvoudig
Door Mijndomein.nl en Monshouwer Internet Diensten, één van de grootste én één van de kleinste .nl-registrars, werd samengewerkt om de eerste geautomatiseerde veilige verhuizing van een DNSSEC-gesigneerde domeinnaam ter wereld te realiseren en dat lukte op dinsdag 16 juli 2013 met de domeinnaam dnssectransfer.nl.
Ewout de Graaf van Mijndomein.nl legt aan ISPam.nl uit dat de verhuizing redelijk eenvoudig is. De nieuwe registrar maakt een nieuwe ZSK aan voor de domeinnaam en neemt de domeinnaam in kwestie op in zijn nameservers. Daarnaast plaatst de nieuwe registrar ook (tijdelijk) de ZSK van de oude registrar, die hij gewoon via de DNS kan opvragen in zijn nameservers van de domeinnaam. De nieuwe registrar stuurt daarna via de EPP-interface van de registry zijn ZSK voor de domeinnaam naar de oude registrar, die deze opneemt in de nameservers van de domeinnaam, naast zijn eigen ZSK voor de domeinnaam.
Op deze manier draait de domeinnaam op beide nameservers met twee DNSSEC-records, met de ZSK die is aangemaakt door zowel de oude als de nieuwe registrar. Nadat ZSK van beide registrars in de nameservers staan opgenomen, moet er enige tijd worden gewacht, zodat de veranderingen in de nameservers worden gepropageerd en daarna kan de domeinnaam daadwerkelijk veilig van de oude naar de nieuwe registrar worden verhuisd en kan de DNSSEC-informatie van de domeinnaam door de nieuwe registrar bij de SIDN worden geregistreerd. Uiteindelijk kan de oude registrar de bewuste domeinnaam uit zijn nameservers verwijderen, zoals bij een reguliere verhuizing ook gebeurt.
Heikel punt blijft volgens De Graaf op dit moment nog de hoeveelheid tijd die er moet zitten tussen een aantal van de stappen. Daar wil hij samen met de technische commissie van de Vereniging van Registrars, waar hij lid van is, aanbevelingen over gaan formuleren. Ook het feit dat de zonefile update van het .nl-domein elke twee uur plaatsvindt, werkt enorm vertragend. De zonefile publicatie van het .nl-domein versnellen zou al een enorme versnelling van het veilige verhuisproces opleveren, aldus De Graaf.