DOMAIN NAME SYSTEM SECURITY EXTENSION (DNSSEC)

DNSSEC (Domain Name System Security Extension) kan het vertrouwen in het internet verhogen door gebruikers te beschermen tegen omleiding naar frauduleuze websites en ongewenste adressen.


Click to play
close

DNS (Domeinnaamsysteem) is het adresseringssysteem van het internet en vormt het belangrijkste onderdeel van de infrastructuur van het internet. Zonder DNS kan het internet niet functioneren. DNS is echter niet ontworpen met beveiliging als prioriteit. Als gevolg hiervan is het kwetsbaar voor man-in-the-middle (MITM)-aanvallen en cache poisoning. Deze bedreigingen maken gebruik van vervalste gegevens om het internetverkeer om te leiden naar frauduleuze websites en ongewenste adressen.

Wanneer een nietsvermoedende gebruiker of het apparaat de frauduleuze site bereikt, kunnen cybercriminelen creditcardgegevens extraheren, wachtwoorden van gebruikers stelen, VoIP-communicatie (Voice-over IP) afluisteren, kwaadwillende software installeren of afbeeldingen en tekst weergeven die het legitieme merk belasteren of misleidende informatie verstrekken. Aangezien één DNS-naamserver als het naam-naar-adres-omzettingspunt voor duizenden gebruikers kan fungeren, kan een MITM-aanval of cache-poisoning verreikende gevolgen hebben.

VOORDELEN VAN DNSSEC

Selecteer een rol hieronder als u meer wilt weten over wat DNSSEC voor u kan betekenen en over de rol die DNSSEC speelt in ons beleid om het internet van end-to-end te verifiëren.

Registrars Websiteoperators ISP's

DNSSEC OPLEIDING

Verisign is al sinds 2000 betrokken bij de ontwikkeling van DNSSEC. Tot op vandaag blijven we met de technische internetgemeenschap samenwerken.

Ontdek hoe DNSSEC werkt
DNSSEC-tijdlijn
De rol van Verisign in DNSSEC

Veelgestelde vragen over DNSSEC


DNSSEC beschermt de internetgemeenschap tegen vervalste DNS-gegevens door openbare-sleutelcryptografie te gebruiken om gegevens van de gezaghebbende zone digitaal te ondertekenen. DNSSEC-validatie verzekert gebruikers dat de gegevens afkomstig zijn van de opgegeven bron en bij de overdracht niet zijn gewijzigd. DNSSEC kan ook bewijzen dat een domeinnaam niet bestaat.

Hoewel DNSSEC de beveiliging van DSN verhoogt, is het geen allesomvattende oplossing. DNSSEC biedt geen bescherming tegen gedistribueerde DDoS-aanvallen (Distributed Denial of Service), geen garantie van vertrouwelijkheid bij gegevensuitwisseling, geen codering van websitegegevens en kan spoofing en phishing van IP-adressen niet voorkomen. Andere beveiligingslagen, zoals DDos-risicobeperking, beveiligingsinformatie, SSL-codering (Secure Sockets Layer), sitevalidatie en verificatie op basis van twee factoren, zijn cruciaal bij het veiliger maken van het internet. Deze mechanismen moeten in combinatie met DNSSEC worden gebruikt.

DNSSEC is op elk onderdeel in het ecosysteem van de internetinfrastructuur van toepassing. Voor een doeltreffende implementatie is de deelname van vele belanghebbenden binnen de internetgemeenschap vereist. Registers, registrars, domeinnaaminschrijvers, hardware- en softwareleveranciers, ISP's, overheidsinstanties en gewone internetgebruikers spelen allen een rol in het garanderen van succes en kunnen cruciale verbeteringen in internetbeveiliging bewerkstelligen. DNSSEC biedt voordelen voor:

  • de internetgemeenschap door beveiliging in ondertekende zones te verbeteren.
  • registrars die services voor het ondertekenen van domeinen aan hun klanten kunnen bieden.
  • ISP's door de beveiliging van de gegevens die aan hun klanten worden geretourneerd, te verhogen.
  • gebruikers door ze te beschermen tegen DNS-kwetsbaarheden zoals cache poisoning en man-in-the-middle-aanvallen.

Bij DNSSEC heeft elke zone een openbaar en persoonlijk sleutelpaar. De openbare sleutel van de zone wordt gepubliceerd met behulp van DNS, terwijl de persoonlijke sleutel op een veilige plaats en liefst offline wordt bewaard. Individuele DNS-gegevens in een zone worden ondertekend door de persoonlijke sleutel van deze zone. Hiermee worden digitale handtekeningen gemaakt die ook met een DNS worden gepubliceerd. DNSSEC maakt gebruik van een strikt vertrouwensmodel en deze vertrouwensketen strekt zich uit van de bovenliggende zone naar de onderliggende zone. Hogere (bovenliggende) zones ondertekenen (of staan in voor) de openbare sleutels van lagere (onderliggende) zones. De gezaghebbende naamservices voor deze zones kunnen worden beheerd door registrars, ISP's, bedrijven voor webhosting of websiteoperators (inschrijvers).

Wanneer een eindgebruiker een website wil oproepen, vraagt de stub-conflictoplosser binnen het besturingssysteem van de gebruiker de domeinnaamrecord op bij een recursieve naamserver op een ISP. Nadat de server deze record heeft aangevraagd, wordt ook de DNSSEC-sleutel, die aan de zone is gekoppeld, opgevraagd. Met behulp van deze sleutel kan de server verifiëren dat de ontvangen informatie identiek is aan de record op de gezaghebbende naamserver.

Als met de recursieve naamserver wordt bepaald dat de adresrecord door de gezaghebbende naamserver is verzonden en tijdens de overdracht niet is gewijzigd, wordt de domeinnaam omgezet en krijgt de gebruiker toegang tot de site. Dit proces wordt validatie genoemd. Als de adresrecord is gewijzigd of niet van de vermelde bron afkomstig is, verleent de recursieve naamserver de gebruiker geen toegang tot het frauduleuze adres. DNSSEC kan ook bewijzen dat een domeinnaam niet bestaat.

Het concept internetbeveiliging bestaat uit vele factoren. Met DNSSEC kunnen beveiligingsrisico's die ontstaan door man-in-the-middle-aanvallen en cache poisoning worden beperkt, maar dit is geen allesomvattende beveiligingsoplossing. DNSSEC biedt geen oplossing voor veel van de meest voorkomende internetbedreigingen, zoals spoofing of phishing. Daarom zijn andere beschermingslagen, zoals SSL-certificaten en verificatie op basis van twee factoren, cruciaal om het internet voor iedereen een veilige plaats te maken.

De internetcommunity heeft nog geen gestandaardiseerd systeem ontwikkeld om gebruikers bij een aanval op de hoogte te stellen. Een van de mogelijke oplossingen is de ontwikkeling van "DNSSEC-bewuste" browsers die gebruikers op de hoogte stellen wanneer ze naar een geverifieerde bestemming zijn gebracht.

In juli 2010 heeft Verisign in samenwerking met IANA (Internet Assigned Numbers Authority) en het Amerikaanse ministerie van Economische Zaken de implementatie van DNSSEC voltooid in de hoofdzone (het beginpunt van de DNS-hiërarchie). In juli 2010 heeft Verisign in samenwerking met EDUCAUSE en het Amerikaanse ministerie van Economische Zaken ook de DNSSEC voor .edu geactiveerd, in december 2010 voor .net en in maart 2011 voor .com.

Onze DNSSEC-implementatiestrategie begon met de kleinere zones en evalueerde elke implementatie, zodat de opgedane kennis op de volgende zone kon worden toegepast. Aangezien de .com-zone het grootst is, hebben we die als laatste ondertekend. We wilden zoveel mogelijk ervaring opdoen voordat we het domein onder handen namen dat het merendeel van de onlinehandel en -communicatie verwerkt.

Een geslaagde implementatie van DNSSEC heeft verreikende voordelen voor de hele internetcommunity, met een groter vertrouwen in een groot aantal internetactiviteiten zoals e-commerce, onlinebankieren, e-mail, VoIP en onlinesoftwaredistributie. De hele internetcommunity draagt echter de verantwoordelijkheid voor een geslaagde implementatie van DNSSEC. Hiervoor moeten registers, registrars, inschrijvers, hosting-bedrijven, softwareontwikkelaars, hardwareleveranciers, de overheid, deskundigen op het gebied van internettechnologie en coalities actief en gecoördineerd meewerken.

De TLD's (topleveldomeinen) op het hoofdniveau van het internet, zoals .gov, .org en .museum, evenals een aantal ccTLD's (landcode-TLD's), hebben de zones ondertekend die ze beheren. Andere TLD's zoals .edu, .net en .com hebben DNSSEC geïmplementeerd in 2010 en 2011. Deze TLD's accepteren sinds kort ook domeinnamen op het tweede niveau die met DNSSEC zijn ondertekend. Grote ISP's zoals Comcast hebben validatie geactiveerd op de recursieve naamservers die gebruikersquery's beantwoorden en enkele registrars hebben DNSSEC-implementatie in hun planning opgenomen. Bovendien heeft ICANN (Internet Corporation for Assigned Names and Numbers) inschrijvingen voor nieuwe TLD's geaccepteerd, en is het waarschijnlijk dat plannen voor de implementatie van DNSSEC een vereiste zullen zijn voor aanvaarding van een nieuw TLD-verzoek.

Hoewel DNSSEC en SSL beide afhankelijk zijn van openbare-sleutelcryptografie, voeren ze zeer verschillende functies uit die elkaar niet vervangen maar juist aanvullen.

Heel simpel gezegd verwerkt DNSSEC 'waar' en SSL 'wie' en 'hoe'.

  • Waar—DNSSEC gebruikt digitale handtekeningen om DNS-gegevensintegriteit te verifiëren, zodat gebruikers het bedoelde IP-adres bereiken. De taak van DNSSEC is voltooid wanneer de gebruiker het adres bereikt. DNSSEC biedt geen garantie voor de identiteit op het adres en codeert geen interactie tussen de gebruiker en de site.
  • Wie—SSL gebruikt digitale certificaten om de identiteit van een site te valideren. Wanneer deze certificaten zijn uitgegeven door betrouwbare certificeringsinstanties van derden (CA's), stelt SSL gebruikers op de hoogte van de identiteit van de website-eigenaar. SSL neemt echter geen actie om te zorgen dat een gebruiker de juiste site bereikt en kan dus niet worden gebruikt tegen aanvallen waarbij gebruikers worden omgeleid. Met andere woorden, SSL-sitevalidering is alleen doeltreffend als de gebruiker de juiste bestemming bereikt.
  • Hoe—SSL maakt ook gebruik van digitale certificaten om gegevensuitwisselingen tussen een gebruiker en site te coderen, waardoor de vertrouwelijkheid van financiële transacties, communicatie, e-commerce en andere vertrouwelijke interacties wordt beschermd.

DNSSEC en SSL verhogen samen de veiligheid en het vertrouwen op het internet. Gebruikers kunnen zich verzekeren van hun bestemming, met wie ze communiceren en hoe vertrouwelijk hun interacties zijn.

In de VS heeft memo 08-23 van het OMB (Office of Management and Budget) verplicht gesteld dat DNSSEC in januari 2009 op het bovenste niveau van het .gov-domein moet zijn geïmplementeerd, en dat Amerikaanse overheidsinstanties tegen december 2009 DNSSEC op externe sites moeten hebben geïmplementeerd. Het .gov-register werd begin 2009 ondertekend. De Amerikaanse Defense Information Systems Agency heeft ook de bedoeling om het .mil-domein te onderwerpen aan de OMB DNSSEC-vereisten. De Amerikaanse nieuwe FISMA-reglementen (Federal Information Security Management Act) hebben instanties aangespoord om halverwege 2010 hun intranetzones met DNSSEC te ondertekenen. Er zijn momenteel geen vereisten voor operators van openbare websites om hun domein met DNSSEC te beveiligen.

1994: Eerste concept voor mogelijke standaard gepubliceerd
1997: RFC 2065 gepubliceerd (DNSSEC is een IETF-standaard)
1999: RFC 2535 gepubliceerd (DNSSEC-standaard herzien)
2005: Volledig herschreven standaarden gepubliceerd
RFC 4033 (Introductie en vereisten)
RFC 4034 (Nieuwe bronrecords)
RFC 4035 (Protocolwijzigingen)
Juli 2010: Hoofdniveau ondertekend
Juli 2010: .edu ondertekend
December 2010: .net ondertekend
Februari 2011: DNSSEC-.gov-register gaat over op Verisign
Maart 2011: .com ondertekend
Maart 2011: Verisign-beheerde DNS-service wordt verbeterd met volledige ondersteuning voor DNSSEC-naleving
Januari 2012: Comcast kondigt aan dat zijn klanten DNSSEC-validatieresolvers gebruiken
Maart 2012: Aantal ondertekende TLD's stijgt tot 90