SIDN heeft een website in de lucht gebracht waarmee internetgebruikers kunnen controleren of hun provider DNSsec ondersteunt. DNSsec verkleint de kans dat een internetgebruiker vervalste DNS-gegevens ontvangt, die het mogelijk kunnen maken dat kwaadwillenden mailberichten onderscheppen of bezoekers omleiden naar nepsites.

'In augustus 2010 heeft SIDN de .nl-zone ondertekend met het DNSsec-protocol. Via deze website willen we het gebruik ervan stimuleren', vertelt technisch adviseur Marco Davids van SIDN.

'DNSsec werkt alleen als iedereen in de keten meedoet', aldus Davids. 'Simpel gesteld: alleen DNSsec aan de serverkant aanzetten helpt weinig, als je hier aan de client-zijde vervolgens niets mee doet. Stel dat dus een Nederlandse bank bekend maakt dat zijn internetbankierensite kan worden geauthenticeerd via DNSsec, dan kan een bankklant pas profiteren van die vorm van authenticatie wanneer zijn provider DNSsec ondersteunt.

T-Mobile
Toen Davids de DNSsec-checker onlangs bezocht vanaf zijn smartphone, deed hij een interessante ontdekking. 'T-Mobile bleek DNSsec te hebben aangezet.' Momenteel zijn er volgens Davids 'enkele tientallen' websites in Nederland die DNSsec ondersteunen.


DNSSEC-checker
Op http://dnssectest.sidn.nl (http://dnssectest.sidn.nl/) kunnen internetgebruikers controleren of de client waar vandaan ze websurfen DNSsec begrijpt en dit protocol ondersteunt. Alleen wanneer dat zo is, kunnen ze gebruik maken van de authenticatiemogelijkheden die DNSsec biedt. Het protocol maakt het mogelijk om domeinnamen te 'ondertekenen' met een cryptografische sleutel, om te bewijzen dat het ip-adres waar vandaan de bijbehorende website wordt gehost, inderdaad is toegewezen aan het internetdomein dat de gebruiker in de taakbalk van zijn browser heeft ingetikt.

Welke provider heeft dit nu eigenlijk al geimplementeerd?

Welke provider heeft dit nu eigenlijk al geimplementeerd?

Ik gok dat niemand het echt heeft geimplementeerd, behalve dan misschien een testje met een eigen domein.

Denk ook dat dit nog wel even gaat duren, mijn verwachting is dat DNSSEC pas gaat spelen na/tegelijk met ipv6 als alle thuis routers beide ondersteunen.

Ik gok dat niemand het echt heeft geimplementeerd, behalve dan misschien een testje met een eigen domein.

Nou, dat is niet helemaal waar. Er worden, wereldwijd, een toenemend aantal domeinnamen voorzien van DNSSEC beveiliging. Zelfs onder .nl worden nu al domeinnamen gesigneerd, ook al moeten de voorzieningen om dat in DRS te doen nog worden gebouwd (wordt aan gewerkt). Maar via ons 'Friends & Fans' programma doen al diverse partijen mee, waaronder een paar gerenommeerde namen zoals SURFnet. Uiteraard is 'sidn.nl' ook al een tijdje geleden gesigneerd.

Dan de client-zijde, de resolver kant dus. Ook daar gaat het steeds beter.
(de client-zijde is wat http://dnssectest.sidn.nl/ voor je test overigens)

Steeds meer ISPs zetten DNSSEC validatie aan op hun resolvers. Natuurlijk SURFnet, maar ook BIT en XS4ALL behoren tot de groep 'early adapters' die dit gedaan hebben of hier mee bezig zijn (voor een grote ISP als XS4ALL ligt het complexer, al was het maar vanwege de vele ADSL modems met DNS forwarder die geen DNSSEC doet. Maar ook hier gaat het goed, Fritz!Box heeft dit in de recentere firmware opgelost inmiddels)

En waarschijnlijk is het lijstje ISPs nog groter. Wat te denken van T-Mobile bijvoorbeeld. Probeer de test maar eens via je smartphone, als je klant van T-Mobile bent.

Kortom, we liggen goed op koers met DNSSEC.

Weet je dat het aanzetten van DNSSEC validatie op een resolver helemaal geen rocket-science is trouwens? Zeker iets om eens naar te kijken dus.

Het signeren van domeinnamen met DNSSEC is ontegenzeggelijk wat complexer, maar dat lijkt me voor de bezoekers van dit forum eerder een uitdaging, dan een obstakel.

--
Marco