Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Eerste geautomatiseerde DNSSEC domeinnaam verhuizing ter wereld

  • Door
  • Arnout Veenman
  • geplaatst op
  • 18 juli 2013 08:11 uur

Mijndomein.nl en Monshouwer Internet Diensten hebben naar eigen zeggen een wereldwijde primeur door als eerste een met DNSSEC gesigneerde domeinnaam geautomatiseerd te verhuizen, waarbij de DNSSEC-informatie behouden is én de domeinnaam met DNSSEC beveiligd blijft. De domeinnaam dnssectransfer.nl was de eerste domeinnaam die op deze manier verhuisd werd.

In een blogpost van SIDN Labs, de researchafdeling van SIDN, werd vorig jaar al uitgelegd op welke wijze het mogelijk is om een domeinnaam met behoud van DNSSEC-signering te verhuizen tussen twee registrars. In de blogspost werd geconstateerd dat het op een veilige manier geautomatiseerd versturen van de publieke DNSSEC-sleutel (ZSK of zone signing key) van de nieuwe naar de oude registrar een obstakel was die het proces ingewikkeld maakte.

In 2012 is daarom een draft RFC opgesteld waarin is geregeld hoe via de registry, zoals SIDN voor het .nl-domeinnaam, de ZSK die de nieuwe registrar heeft aangemaakt, veilig kan worden verstuurd naar de oude registrar, waar de domeinnaam op dat moment nog geregistreerd staat. Afgelopen week is deze methode geïmplementeerd in het .nl-domeinregistratiesysteem dat SIDN beheert. Dit maakte deze manier van verhuizen van .nl-domeinnamen met behoud van de DNSSEC-signering mogelijk.

Redelijk eenvoudig
Door Mijndomein.nl en Monshouwer Internet Diensten, één van de grootste én één van de kleinste .nl-registrars, werd samengewerkt om de eerste geautomatiseerde veilige verhuizing van een DNSSEC-gesigneerde domeinnaam ter wereld te realiseren en dat lukte op dinsdag 16 juli 2013 met de domeinnaam dnssectransfer.nl.

Ewout de Graaf van Mijndomein.nl legt aan ISPam.nl uit dat de verhuizing redelijk eenvoudig is. De nieuwe registrar maakt een nieuwe ZSK aan voor de domeinnaam en neemt de domeinnaam in kwestie op in zijn nameservers. Daarnaast plaatst de nieuwe registrar ook (tijdelijk) de ZSK van de oude registrar, die hij gewoon via de DNS kan opvragen in zijn nameservers van de domeinnaam. De nieuwe registrar stuurt daarna via de EPP-interface van de registry zijn ZSK voor de domeinnaam naar de oude registrar, die deze opneemt in de nameservers van de domeinnaam, naast zijn eigen ZSK voor de domeinnaam.

Op deze manier draait de domeinnaam op beide nameservers met twee DNSSEC-records, met de ZSK die is aangemaakt door zowel de oude als de nieuwe registrar. Nadat ZSK van beide registrars in de nameservers staan opgenomen, moet er enige tijd worden gewacht, zodat de veranderingen in de nameservers worden gepropageerd en daarna kan de domeinnaam daadwerkelijk veilig van de oude naar de nieuwe registrar worden verhuisd en kan de DNSSEC-informatie van de domeinnaam door de nieuwe registrar bij de SIDN worden geregistreerd. Uiteindelijk kan de oude registrar de bewuste domeinnaam uit zijn nameservers verwijderen, zoals bij een reguliere verhuizing ook gebeurt.

Heikel punt blijft volgens De Graaf op dit moment nog de hoeveelheid tijd die er moet zitten tussen een aantal van de stappen. Daar wil hij samen met de technische commissie van de Vereniging van Registrars, waar hij lid van is, aanbevelingen over gaan formuleren. Ook het feit dat de zonefile update van het .nl-domein elke twee uur plaatsvindt, werkt enorm vertragend. De zonefile publicatie van het .nl-domein versnellen zou al een enorme versnelling van het veilige verhuisproces opleveren, aldus De Graaf.

Casper Gielen, 18 juli 2013 11:54 am

Dit is erg goed nieuws. Zonetransfers met DNSSEC zijn veel te ingewikkeld om met de hand uit te voeren. Het is nu bijna standaard dat DNSSEC stuk gaat op het moment dat een domein wordt verhuisd. De meeste partijen weten niet eens dat ze iets moeten doen. Zonder automatisatie van dit stuk begon verdere uitrol van DNSSEC problematisch te worden.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.