Veilig web vraagt om schok

10 september 2010

Voor een volledige beveiliging van de dienstverlening in het .nl-domein is het nodig dat de hostingproviders en accesproviders (internetaanbieders) ook hun zones (domeinnamen) ‘ondertekenen’ net als de domeinen van hun klanten. “Op het moment ontbreekt die vraag totaal”, zegt Arnout Veenman, directeur ISPConnect, de branchevereniging van internetaanbieders met zo’n zeventig leden. Veenman verwacht echter dat de vraag op termijn wel komt. “Webwinkels zijn verplicht de gegevens van hun klanten te beschermen. Ik verwacht dat de wetgever daarbij ook op termijn het gebruik van DNSSEC verplicht stelt.” De branchevereniging van de hostingbedrijven, DHPA, was niet in staat te reageren.

XS4ALL beaamt het gebrek aan vraag naar DNSSEC-beveiligde verbindingen bij consumenten en bedrijven. “Webwinkels en financiële instellingen hebben hun klanten proberen op te voeden zodat zij letten op het gele slotje en ‘https’ in de adresbalk. Maar ik denk dat het wel komt”, zegt woordvoerder Niels Huij­bregts. Het gevolg is dat het project geen hoge prioriteit heeft bij XS4ALL. Huij­bregts verwacht dat de internetaanbieder in januari 2011 de beveiligde verbindingen kan aanbieden.

SIDN toont zich niet erg verbaasd over het gebrek aan belangstelling. “De vraag naar kogelvrije cockpitdeuren was ook nihil vóór 11 september 2001”, schetst woordvoerster Lycke Hoogeveen de situatie. “Soms moet er eerst een ernstig voorval plaatsvinden voordat bij de betrokkenen het besef doordringt. Wij zijn nu echter voorbereid, zodat wanneer de vraag komt, de beveiliging snel geregeld kan zijn.” De organisatie legt nu de laatste hand aan de invoering van DNSSEC. In oktober vindt de publicatie van de publieke sleutel plaats waarna het systeem in gebruik genomen kan worden.

SIDN start in oktober ook het ‘friends and fans’-programma, waarin met een geselecteerd aantal deelnemers het proces van domeinondertekening wordt uitgeprobeerd.

Een van de deelnemers aan dit programma is SURFnet, de beheerder van het netwerk tussen de instellingen voor hoger onderwijs en onderzoek. SURFnet heeft al sinds september vorig jaar het eigen netwerk beveiligd met DNSSEC. Roland van Rijswijk van SURFnet Middleware Services: “ Aan de ene kant maakt het een concrete verbetering van internetveiligheid mogelijk en aan de andere kant is het een “enabling technology” die andere toepassingen mogelijk maakt die bijvoorbeeld van belang kunnen zijn op het gebied van identity management. Dus de onderzoekskant van DNSSEC is voor ons ook interessant.”

Deelname aan het friends and fans-programma ligt voor Van Rijswijk voor de hand omdat het werk aan DNSSEC het afgelopen jaar tot een aantal interessante inzichten heeft geleid. “Daarmee hebben we ook onze bijdrage kunnen leveren aan de verbetering van de DNSSEC-uitrol wereldwijd.”

Van Rijswijk betreurt wel de beperkte schaal van het friends & fans-programma als gevolg van het volledig handmatig uitvoeren van het proces. SURFnet kan daardoor het volledig beveiligde pad nog niet als dienst aan de aangesloten instellingen aanbieden, terwijl daar wel behoefte aan is. Hij gaat ervan uit dat eind 2011 een kwart van de aangesloten instellingen gebruikmaakt van DNSSEC.

Volgens SIDN is inmiddels de software die internet- en hostingaanbieders nodig hebben beschikbaar. Van Rijswijk ziet echter wel een probleem bij het gebruik: “Het managen van DNS in algemene zin wordt ingewikkelder als je DNSSEC gaat doen. DNS is niet meer die server in de hoek van het serverhok waar je nooit aandacht aan hoefde te besteden.” Huijbregts van XS4ALL ziet ook een flinke kluit werk aan de administratieve kant. “Alle bestel-, verhuis- en opzetformulieren moeten worden aangepast.”

Veiligere verwijsindex

DNSSEC verzekert identiteit domein

DNSSEC is de beveiligingsextensie van het domain name system (DNS), ofwel de verwijsindex op internet. Het protocol helpt te voorkomen dat een websurfer ongemerkt terechtkomt op een malafide variant van de website die hij heeft opgevraagd. Het protocol beschermt niet de privacy door het verkeer te versleutelen, zoals vaak gedacht.De DNS-authenticatie werkt alleen wanneer de DNS-naam van een opgevraagde webserver, een DNSSEC-’handtekening’ heeft en deze kan worden geverifieerd door speciale ‘validerende resolvers’. In juli werd het hoogste niveau in de verwijsindex, de rootzone, ‘getekend’ en in augustus het Nederlandse deel van internet (.nl-topdomein). Volgens VeriSign volgen de belangrijke generieke domeinen .com, en .net eind dit jaar. Het .org-domein werd al in juni getekend. Verschillende kleinere landendomeinen zoals die van Brazilië, (.br), Tsjechië, (cz), Puerto Rico (.pr) en Zweden (.se) gebruiken DNSSEC al langere tijd. Wanneer de Nederlandse internetaanbieders DNSSEC aanbieden, is authenticatie van DNSSEC-beveiligde domeinen in al deze landen en in Nederland mogelijk.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!