Kort na de geboorte van het internet, is ook het domain name system ontwikkeld. Dit systeem zorgt ervoor dat iedereen na het intoetsen van zijn gewenste hostname (bijvoorbeeld url) gekoppeld wordt aan het betreffende ip-adres van de bijhorende server(s). Een soort telefoonboek voor internetverkeer. Dns is geen waterdicht systeem, dnssec biedt uitkomst. Toch ontglipt dnssec nog te vaak aan de aandacht van de betrokken partijen.
Alle computers die verbonden zijn met het internet hebben een eigen uniek id: het ip-adres. En tegenwoordig eigenlijk zelfs twee adressen, namelijk een IPv4-en een IPv6-adres; een kort en een lang adres dus. Het bezoeken van een website, is daarmee eigenlijk het bezoeken van een ip-adres. Omdat deze nummers niet te onthouden zijn, bestaan er domeinnamen. Het dns verbindt de opgevraagde domeinnaam met het betreffende ip-adres. Dat dit proces niet 100 procent veilig is, was al langer bekend. Maar tot acht jaar geleden was niet duidelijk hoe hier misbruik van gemaakt kon worden.
Een onderzoeker toonde aan dat het dns om de tuin geleid kon worden. Verkeer kan ongewenst naar een malafide ip-adres op een andere server gestuurd worden. Hierbij wordt door de gebruiker bijvoorbeeld www.example.nl opgevraagd, maar wordt hij naar een verkeerd ip-adres gestuurd. Het is alsof de ouderwetse telefonist(e) van nummerinformatie je een verkeerd telefoonnummer doorgeeft. Een dergelijke aanval via dns kan zo opgezet worden dat de bezoeker van een website hier niets van merkt. Alles op de website en in de browser ziet eruit zoals het er altijd uitziet, maar ondertussen worden wel bijvoorbeeld de logingegevens buitgemaakt. Een oplossing voor deze kwetsbaarheid is domain name system security extensions, kortweg dnssec.
Dnssec it is
Met dnssec worden de antwoorden op dns-bevragingen versleuteld met een digitale handtekening. Een voorbeeld van een dns-bevraging is: wat is het ip-adres/de ip-adressen voor www.example.nl? Degene die de vraag gesteld heeft en dus het antwoord ontvangt zal deze digitale handtekening moeten valideren. Een succesvolle validatie van de digitale handtekening garandeert dat het juiste antwoord ontvangen is.
Om dnssec het gebruik van Ddnste laten beveiligen, dienen daarom twee partijen dnssec geïmplementeerd te hebben. De dns-provider voor een domeinnaam, in de regel de hostingprovider, zal de domeinnaam met dnssec moeten ondertekenen. Daarmee wordt de digitale handtekening gezet. Én de vragende partij zal het antwoord met de digitale handtekening moeten valideren, in de regel is die partij de internetprovider van de websitebezoeker.
Steeds eenvoudiger
Dnssec bleek niet direct een hit op internet. Veel internetproviders en hostingbedrijven durfden de beveiliging niet aan. Vooral omdat het nogal complexe materie is. En een foutje kan grote gevolgen hebben: een website kan tot een week niet bereikbaar zijn. Gelukkig is de laatste jaren de techniek doorontwikkeld en vereenvoudigd in gebruik. In Nederland doen we het behoorlijk goed ten opzichte van de rest van de wereld, van de 5,6 miljoen .nl domeinnamen, hebben 2,5 miljoen de dnssec-beveiliging.
Tijd voor actie
Nu internet een steeds belangrijkere rol gaat spelen, wordt de beveiliging daarvan ook steeds crucialer. Dus aan de houders van de 3,1 miljoen resterende domeinnamen: ondersteun dnssec en draag zo bij aan een veiliger internet voor iedereen. Wat echter vooral uitblijft is de ondersteuning van de grote internetproviders. Er zijn een aantal kleine spelers die als early adopters beschouwd mogen worden, maar de groten hebben een afwachtende houding.
Omdat de wereld steeds afhankelijker wordt van het internet, is het tijd dat iedereen zijn mouwen opstroopt om dit internet veiliger te maken. Mijn advies luidt dan ook: lees jezelf in en daag anderen uit. Probeer waar mogelijk dnssec (validatie) te ondersteunen en kijk ook of je partners, zoals isp’s en hostingproviders, kunt stimuleren om dnssec te omarmen. Door gezamenlijk de beveiliging middels betere validatie op te krikken, houden we het internet toegankelijk en veilig voor iedereen.