DNSSEC

DNSSEC is een uitbreiding op het DNS-protocol dat het gebruik van domeinnamen veiliger maakt.  DNSSEC beschermt het DNS tegen ongewenste manipulatie en dient als basis voor verdere beveiligende maatregelen, zoals bijvoorbeeld DANE.

Wat is DNS

De taak van het Domain Name System (DNS) is het omzetten van domeinnamen naar IP-adressen (en andersom), het is dus een soort internet adresboek. Clients die navigeren naar bijvoorbeeld www.uwdomein.nl, raadplegen daarvoor een name-server die dan het bijbehorend IP-adres bij de URL zoekt en deze doorgeeft aan de client. Ook e-mail en andere internet-protocollen gebruiken dit systeem.

Wat is DNSSEC

Het originele DNS systeem was bedoeld als eenvoudig distributiesysteem, en omvatte vrijwel geen beveiligingsmaatregelen. DNSSEC is een set van uitbreidingen die aan het originele DNS een beveiligingslaag toevoegen. Alle domeinnamen kunnen voorzien worden van deze extra beveiliging via de partij bij wie het domein is geregistreerd (de registrar). Clients die deze uitbreiding ondersteunen, ontvangen van de name-server adres-informatie voorzien van een digitale handtekening. Dit voorkomt beïnvloeding van het verkeer tussen het IP-adres en de domeinnaam. Het gebruik van DNSSEC groeit gestaag: het aantal .nl domeinen dat DNSSEC gebruikt is gestegen van 1.5 miljoen in 2013 naar 2.7 miljoen in augustus 2017.

Hoe werkt het

DNSSEC staat voor Domain Name System Security Extensions. Het protocol voegt een publieke sleutel toe aan de informatie die wordt teruggestuurd van de name-server naar de client. Door de registrar van het domein is de publieke sleutel van het domein één niveau hoger in de DNS-hiërarchie geplaatst. Voor .nl-domeinen zijn dit de name-servers van het SIDN, die als een zogenaamd 'trust anchor' dienen. De client gebruikt het trust anchor om te controleren of de publieke sleutel die met de informatie vanaf de name-server wordt verzonden ook daadwerkelijk dezelfde is als de publieke sleutel waaronder het domein bij de trust anchor bekend staat. Op deze manier wordt er een zogenaamde chain of trust over verschillende niveaus van de DNS-hiërarchie opgebouwd.

DNSSEC maakt het mogelijk om als client de oorsprong van de gestuurde DNS data te controleren, een geverifieerde terugmelding te ontvangen als uit de controle blijkt dat de publieke sleutels niet overeenkomen en een controle van de integriteit van de gestuurde data uit te voeren. Hierdoor kan er gecontroleerd worden of de doorgezonden informatie niet door derden is gewijzigd.

Servers en clients die DNSSEC gebruiken kunnen gewoon samenwerken met systemen die deze uitbreiding nog niet hebben, maar in deze gevallen is de DNS-informatie dan niet versleuteld.

Handige tools

point up