Webshops beveiligen - Domeinnamen

De meeste webwinkeliers zijn inmiddels wel overtuigd van de noodzaak om een verbinding tegen afluisteren te beveiligen met bijvoorbeeld een SSL certificaat. Niet iedereen is er echter van op de hoogte dat het ondanks een SSL certificaat toch mogelijk is om de gegevens af te luisteren wanneer er misbruik gemaakt wordt van kwetsbaarheden in het DNS.

DNS?

DNS staat voor Domain Name System en is een protocol dat een domeinnaam vertaalt naar een IP adres en omgekeerd. Het wordt ook wel het telefoonboek van het internet genoemd omdat het ingewikkeld te onthouden IP adressen omzet in makkelijker te onthouden domeinnamen. Bij het maken van de verbinding met een website wordt er een nameserver geraadpleegd voor het adres www.sslcertificaten.nl, voordat er contact kan worden gemaakt met het IP adres 94.228.131.81 op de server waar de website op staat.

Wat is het probleem?

Wanneer een aanvaller de gegevens op de nameserver weet aan te passen, kan deze het verkeer naar een ander adres sturen. De gegevens kunnen dan doorgestuurd worden naar het originele adres, maar ondertussen kan de verbinding wel afgeluisterd worden. Het aanpassen van DNS kan bijvoorbeeld gebeuren bij open access points voor draadloos internet.

Mijn SSL certificaat beveiligt hier toch tegen?

Zodra de klant in het beveiligde gedeelte van de website komt en https:// en de domeinnaam in de adresbalk ziet is de verbinding inderdaad beveiligd en kan deze niet meer afgeluisterd worden. Een aanvaller kan er echter voor zorgen dat de bezoeker via een onbeveiligde verbinding blijft werken, door de links naar http:// aan te passen. De server waarnaar het verkeer wordt doorgestuurd maakt dan wel verbinding naar het beveiligde deel, maar de bezoeker maakt nog steeds gebruik van een onbeveiligde verbinding.

Hoe beveilig ik mijn verbinding tegen afluisteren?

Ten eerste is het belangrijk dat je bezoekers zich er van bewust zijn dat zij alleen gegevens achterlaten laten wanneer de verbinding is beveiligd. Dus dat zij er op letten dat https:// in de adresbalk is te zien en het slotje in de browser staat.

Om de DNS informatie te beveiligen kan er gebruik gemaakt worden van DNSSEC, een mogelijkheid om de van de nameserver ontvangen adresinformatie digitaal te ondertekenen. DNSSEC is een uitbreiding op het DNS-protocol dat het gebruik van domeinnamen veiliger maakt. Domeinnamen kunnen voorzien worden van deze extra beveiliging via de registrar, de partij waar het domein is geregistreerd. DNSSEC beschermt DNS records tegen ongewenste aanpassingen en dient als basis voor verdere maatregelen.

Helaas wordt DNSSEC nog niet zodanig ondersteund dat dit door alle browsers gecontroleerd wordt. DNSSEC wordt voor .nl domeinnamen al ondersteund en zal ook in de toekomst steeds populairder worden, dus het is verstandig om nu al te informeren naar de beveiliging van uw DNS records.

Zitten er ook nadelen aan DNSSEC?

Een van de nadelen van DNSSEC is dat als er iets mis gaat het met ondertekenen van de DNS-records, dit er toe kan leiden dat je website tijdelijk onbereikbaar is voor bezoekers die DNSSEC ondersteunen. Het is daarom belangrijk om je DNS onder te brengen bij een partij met de juiste ervaring.

En de voordelen?

Met behulp van DANE kunnen ook de SSL Certificaten van je website in de DNS worden opgenomen. DNS-Based Authentication of Named Entities (DANE) werkt door het uitbreiden van het DNS-protocol met een zogenaamd TLSA record, waardoor het mogelijk wordt certificaatinformatie in het DNS vast te leggen. Hierdoor is er nog een extra controle dat het SSL certificaat wat je op de website gebruikt ook echt jouw SSL Certificaat is.

point up