.Org onder DNSSEC, veiligheid to the next level

.Org onder DNSSEC, veiligheid to the next level

Geplaatst op 2 juli 2010 onder ICT-recht  > DNSSEC door Sebastiaan Vandenbogaerde.

Velen stellen zich niet de vraag hoe het proces achter de schermen verloopt wanneer een domeinnaam in de webbrowser wordt opgegeven. Men komt op de gevraagde website terecht en daarmee is de kous af. Achter deze eenvoudige handeling schuilt een gans proces van gegevensuitwisseling en één van die zaken is dat de domeinnaam naar een IP-adres wordt omgezet. Daarvoor wordt gebruik gemaakt van de DNS-technologie (DNS = Domain Name System). Toch was er een gevaar aangezien DNS niet voorzien was van een beschermingslaag, wat toentertijd geen prioriteit was. De internetgebruiker was echter niet zeker van het feit of hetgeen hij opvroeg zou worden verkregen en of er met de data-uitwisseling was gesjoemeld, aangezien DNS-servers de bron en het doel niet authentificeerden. Vooral het zogenaamde “cache poisoning”, waarbij als het ware het netwerkverkeer werd omgeleid naar obscure sites, was het gevolg van deze gebrekkige beveiliging. Deze zwaktes werden in de jaren ’90 blootgelegd, waardoor naar een oplossing werd gezocht. Die zou er nu zijn met DNSSEC (Domain Name System Security Extensions).

DNSSEC maakt gebruik van zogenaamde “public key algoritmes”, wat wil zeggen dat aan elk antwoord van DNS een digitale handtekening wordt gekoppeld. Op die manier kunnen snoodaards de cache niet meer vervuilen om achteloze internetgebruikers naar valse websites te leiden. Op die manier zou “cache poisoning” moeten worden ingedamd en zelfs verdwijnen. Het nadeel is echter dat het registratieproces van een domeinnaam ingewikkelder wordt omdat in een digitale sleutel moet worden voorzien.  Bovendien wordt gevreesd dat de zoekacties op het internet minder performant zullen worden verricht.

Halfweg juni 2010 is ICANN (Internet Corporation for Assigned Names and Numbers) begonnen met het beveiligen van de root van het internet met DNSSEC. Kort daarop werd op een ICANN bijeenkomst in Brussel bekend gemaakt dat de .org-extensie de eerste “top-level domain” werd dat volledig gebruik zou maken van DNSSEC. “Het feit dat .org gebruik maakt van DNSSEC betekent dat een belangrijke stap werd genomen naar een veiliger Domain Name System” meldde Rod Beckstrom, voorzitter en CEO van ICANN. Toch temperde hij de vreugde door te zeggen dat het een foute opvatting zou zijn dat DNSSEC nu elk veiligheidsprobleem in de virtuele wereld zou oplossen.

Bronnen:

http://www.icann.org/en/news/releases/release-23jun10-en.pdf
http://datanews.rnews.be/nl/ict/nieuws/nieuwsoverzicht/2009/10/27/eurid-test-beveiligingsmethode-dnssec/article-1194716238216.htm
http://www.telecompaper.com/nl/article.aspx?cid=740897