Basis internet beter beveiligd

Het .edu-topdomein is naar verwachting volledig beschermd in maart 2010. Vergelijkbare initiatieven zijn gaande voor de topdomeinen .com, .net, .gov en .org.

Het Domain Name System (DNS) koppelt webadressen aan het IP-adres van de server waar de betreffende website wordt ‘gehost’. Het DNS-protocol is echter oud en bevat een aantal fundamentele problemen die door hackers kunnen worden misbruikt, onder meer door in de cache van het DNS-systeem valse verwijzingen te injecteren.

Het DNS bestaat uit een gelaagde structuur waarbij ‘authorative’ servers die bijvoorbeeld voor het .nl-domein worden beheerd door Stichting Internet Domein registratie Nederland (SIDN) kopieën afgeven aan ‘recursive’ servers die bij internetaanbieders, hostingbedrijven en aan de digitale poort van grotere ondernemingen staan. Verder geeft een systeem van ‘rootservers’ aan op welke servers de DNS-tabellen van welke topdomeinen worden beheerd.

DNSSEC beveiligt het verkeer tussen die verschillende lagen in de verwijsindex met certificaten waarmee bijvoorbeeld de recursive servers de betrouwbaarheid van een DNS-update van de authorative server kunnen controleren. Wil het systeem werken, moet echter de volledige keten zijn beschermd. Ofschoon de beveiligingsmethodiek al jaren bekend is, was het een politiek gevoelig proces om de inrichting voor elkaar te krijgen.

Nu de beveiliging van een aantal belangrijke topdomeinen in gang is gezet, neemt de kans toe dat ook landspecifieke topdomeinen binnenkort beginnen met de beveiliging van hun eigen deel van het systeem. Zweden bijvoorbeeld heeft dit al enige tijd geleden gedaan. De Amerikaanse overheid heeft aangekondigd ook de rootservers voor het eind van het jaar van DNSSEC te voorzien.