HOE WERKT DNSSEC?

De IETF (Internet Engineering Task Force) werkt al ruim 15 jaar aan de ontwikkeling van een praktische standaard voor DNSSEC (Domeinnaamsysteem beveiligingsuitbreidingen). DNSSEC beschermt de internetgemeenschap tegen vervalste DNS-gegevens door middel van openbare-sleutelcryptografie om gegevens van gezaghebbende zones digitaal te ondertekenen wanneer ze het systeem binnenkomen en vervolgens op de bestemming te valideren. Meer informatie over openbare-sleutelcryptografie.


Digitale handtekeningen verzekeren gebruikers dat de gegevens afkomstig zijn van de opgegeven bron en bij de overdracht niet zijn gewijzigd. DNSSEC kan ook vaststellen dat een domeinnaam niet bestaat. Deze mogelijkheden zijn essentieel voor behoud van het vertrouwen in het internet.

Bij DNSSEC heeft elke zone een openbaar en persoonlijk sleutelpaar. De openbare sleutel van de zone wordt gepubliceerd met DNS, terwijl de persoonlijke sleutel op een veilige plaats en liefst offline wordt bewaard. Individuele DNS-gegevens in een zone worden ondertekend door de persoonlijke sleutel van deze zone. Hiermee worden digitale handtekeningen gemaakt die ook met een DNS worden gepubliceerd.

DNSSEC maakt gebruik van een strikt vertrouwensmodel en deze vertrouwensketen strekt zich uit van de bovenliggende zone naar de onderliggende zone. Hogere (bovenliggende) zones ondertekenen (of staan in voor) de openbare sleutels van lagere (onderliggende) zones. De gezaghebbende naamservers voor deze zones kunnen worden beheerd door registrars, internetaanbieders, bedrijven voor webhosting of websiteoperators (inschrijvers).

Wanneer een eindgebruiker naar een website wil gaan, vraagt een stub-conflictoplosser op het besturingssysteem van de gebruiker het IP-adres van de website op bij een recursieve naamserver. Nadat de server deze record heeft aangevraagd, wordt ook de DNSSEC-sleutel aangevraagd die aan de zone is gekoppeld. Met behulp van deze sleutel kan de server verifiëren of de ontvangen IP-adresrecord identiek is aan de record op de gezaghebbende naamserver.

Als met de recursieve naamserver wordt bepaald dat de adresrecord door de gezaghebbende naamserver is verzonden en tijdens de overdracht niet is gewijzigd, wordt de domeinnaam hersteld en krijgt de gebruiker toegang tot de site. Dit proces wordt validatie genoemd. Als de adresrecord is gewijzigd of niet van de vermelde bron afkomstig is, verleent de recursieve naamserver de gebruiker geen toegang tot het frauduleuze adres. DNSSEC kan ook bewijzen dat een domeinnaam niet bestaat. Daarom zijn DNS-query's en -reacties beschermd tegen MITM-aanvallen (man-in-the-middle) en het soort vervalsingen waardoor internetgebruikers mogelijk worden omgeleid naar phishing- en pharming-sites.

WILT U MEER INFORMATIE?