Google geeft DNSSEC flinke steun in de rug

DNSSEC kan aanvallen als DNS cachepoisoning voorkomen. Door een al jarenlang bekend lek in het DNS kunnen hackers verkeer omleiden van een betrouwbare naar een kwaadaardige website.

Wereldwijd wordt DNSSEC, de cryptografische beveiliging van het DNS-protocol, nog altijd echter maar mondjesmaat gebruikt. Zo bleek eerder dit jaar nog dat van de grote Amerikaanse bedrijven en zelfs banken slechts een enkeling deze beveiliging gebruikte. Nederland is daar een grote uitzondering op, maar deze beveiligingstechnologie kan alleen maar goed werken als er veel partijen zijn die ermee werken.

Validatie broodnodig

DNSSEC voorziet een webadres van een digitale handtekening (signature) als het wordt opgevraagd. De handtekening kan worden geverifieerd door middel van een antwoord van de DNS-server, dat ook is ondertekend. Als de digitale handtekening aan de client-zijde echter niet wordt gecontroleerd is er geen validatie waardoor DNSSEC niet optimaal werkt.

In Nederland zijn inmiddels wel veel gebruikers van DNSSEC: bijna 1,5 miljoen van de 5 miljoen .nl-domeinnamen. De Nederlandse overheidsorganisaties zijn sinds juni vorig jaar verplicht het toe te passen. Voor het Amerikaanse overheidstopdomein .gov geldt eenzelfde verplichting.