In het kort
Het Domain Name System (DNS) verzorgt de vertaling van domeinnamen naar IP-adressen (en andersom). Als je via een webbrowser, bijvoorbeeld Apple Safari of Mozilla Firefox, een website bezoekt wordt door de browser de DNS op een nameserver geraadpleegd voor bijvoorbeeld het adres www.mijndomein.nl om het bijbehorende IP adres te achterhalen, waarna de browser contact gaat maken met de webserver die op dat IP-adres draait en zo de website toont. En dit alles in enkele seconden. Naast websites maken ook e-mail- en andere internetprotocollen gebruik van dit systeem.
DNSSEC is een cryptografische (versleutelende) beveiliging voor het DNS-protocol en voorziet de DNS-informatie (bijvoorbeeld de records die een website aan een IP adres koppelen) van een digitale handtekening, zodat de raadplegende computer (of server) kan controleren of de inhoud authentiek is. Zo voorkom je dat argeloze bezoekers denken dat ze de website van Mijndomein bekijken maar feitelijk op een hele andere website terechtkomen die er identiek uitziet maar wel op een hele andere webserver draait en mogelijk probeert hen te verleiden tot het achterlaten van persoonlijke gegevens.
Voor de geinteresseerden volgt hieronder een uitgebreidere uiteenzetting over DNSSEC en gaat meer in op de techniek.
Wat is het belang van DNSSEC?
DNS is een van de oudste internetprotocollen die we nog steeds gebruiken. Het is ontwikkeld midden jaren '80. Ondanks de leeftijd is DNS nog steeds een van de belangrijkste protocollen van het internet: als DNS niet meer werkt, werkt effectief het internet niet meer.
Omdat internet in de begintijd vooral een academisch netwerk was, werkten gebruikers veelal met elkaar samen op basis van vertrouwen. Beveiliging was dan ook geen groot aandachtspunt bij het ontwerp van protocollen, laat staan een integraal onderdeel. De beveiliging ervan is pas veel later ontwikkeld. De basis van DNSSEC zoals we dat nu kennen is gedefinieerd in 2005. Ter vergelijking: SSL (de voorloper van TLS voor de beveiliging van het webverkeer) dateert uit 1995.
Het primaire doel van DNSSEC is om de authenticiteit van DNS-informatie te waarborgen, waarmee DNS spoofing onmogelijk wordt gemaakt. Dat is belangrijk voor domeinnaamhouders, omdat het belang van een goed beveiligd domein sterk is gegroeid voor:
- Bedrijven; omdat veel van de interactie met klanten, partners en leveranciers naar het internet is verschoven
- overheden en andere organisaties; die onderling maar ook met burgers en bedrijven steeds meer via internet communiceren
- internetgebruikers; die ook online op de betrouwbaarheid van een merk of organisatie moeten kunnen rekenen
Een onveilige internetdienst, laat staan een hack ervan, levert naast reputatie- ook zakelijke en/of financiële schade.
Daarnaast is het ook belangrijk voor internetgebruikers, omdat internet steeds meer wordt gebruikt als een platform voor de opslag van waardevolle informatie en het uitvoeren van financiële transacties. Denk hierbij aan internetbankieren, online beleggen en betalingen bij webshops. DNSSEC is voor de gebruiker een garantie dat zijn persoonlijke gegevens op de juiste plaats terecht komt.
Tevens maakt de cryptografische (versleutelende) beveiliging van de informatie in het DNS-systeem deze infrastructuur nu ook geschikt voor de distributie van andersoortige informatie waarvan de authenticiteit gegarandeerd moet zijn. Daarmee biedt DNSSEC-mogelijkheden voor hele nieuwe internettoepassingen. Voorbeelden daarvan zijn:
- SPF, DKIM en DMARC
- DANE
- SSHFP
Hoe werkt DNSSEC?
DNSSEC is een uitbreiding van het originele DNS-protocol. Het kon ingevoerd worden zonder dat daarvoor de bestaande DNS-infrastructuur moest worden aangepast, ondanks dat het om een grote en complexe uitbreiding gaat. DNSSEC bestaat uit twee onderdelen te weten; de ondertekening en de validatie.
DNSSEC-ondertekening
DNS-nameservers die DNSSEC ondersteunen, bieden de mogelijkheid om zones te ondertekenen. Dat betekent dat alle DNS-informatie in een zone van een digitale handtekening wordt voorzien.
DNSSEC-validatie
DNSSEC-validerende servers vragen naast de reguliere DNS records ook de bijbehorende DNSSEC-records op. Als een zone (DNS records van een domein) inderdaad ondertekend is, komt met elke validatie van de DNS ook DNSSEC informatie mee. De server gebruikt de digitale handtekening in de DNSSEC informatie om de inhoud van de DNS op authenticiteit te controleren. Alleen als de digitale handtekening overeenkomt met de inhoud van de DNS (of als de zone geen DNSSEC-beveiliging bevat) wordt de binnengekregen informatie doorgegeven aan de applicatie (en opgeslagen in de cache van de server zodat niet elke keer gevalideerd hoeft te worden als er geen wijzigingen plaatsvinden).
Wat merk ik van DNSSEC?
Domeinnaamhouders en internetgebruikers merken in principe niets van DNSSEC. Deze beveiligingsstandaard is een volledig transparante toevoeging op het bestaande DNS-systeem. Dat betekent dat DNSSEC op een domein aangezet kan worden zonder dat de houder of internetgebruikers daar "last" van hebben.
Voor domeinnaamhouders en internetgebruikers die DNSSEC ondersteunen wordt er voor beide partijen automatisch een sterke cryptografische beveiliging aan het DNS-systeem toegevoegd. Een adres waarvan de digitale handtekening niet klopt wordt dan door de client (raadplegende computer/server) geblokkeerd. Gebruikers die nog geen DNSSEC ondersteunen blijven ondertekende domeinen gewoon op de oude manier gebruiken.
Meer informatie: [SIDN - DNSSEC](https://www.sidn.nl/moderne-internetstandaarden/dnssec)