Zojuist hebben we een nieuwe pagina toegevoegd aan deze website. Een pagina met DNSSEC-statistieken. Deze toepassing maakt gebruik van data uit het ENTRADA (ENhanced Top-level domain Resilience through Advanced Data Analysis) platform en DRS (Domeinnaamregistratiesysteem).
Op dit moment wordt het gebruik van DNSSEC vanuit vijf verschillende invalshoeken gevisualiseerd. Het is de bedoeling om op termijn meer statistieken toe te voegen.
Registraties
Gezien het aantal registraties kan het gebruik van DNSSEC als een succes worden bestempeld. Ruim 40% van de .nl-zone is beschermd met DNSSEC. Dit is voor een groot deel te danken aan de incentiveregeling van SIDN. Deze regeling geeft registrars een korting op het moment dat een domeinnaam met DNSSEC wordt beveiligd. Op 4 december 2014 heeft een grote registrar zijn hele portfolio beveiligd met DNSSEC, wat goed terug te zien is in de grafiek.
Queries
Het aantal queries waarbij om DNSSEC-beveiliging wordt gevraagd is moeilijker te meten. Dit komt omdat het niet altijd duidelijk is of een DNS-resolver een DNSSEC-validerende resolver is. Technisch gezien kan een client achter de resolver DNSSEC-validatie uitvoeren en de resolver niet. Het lijkt dan vanuit het oogpunt van SIDN alsof de resolver degene is die de validatie uitvoert.Op dit moment gebruikt 30% van de DNS-queries DNSSEC, dit aantal is in werkelijkheid waarschijnlijk lager. Een aantal grotere DNS-resolvers wordt nu waarschijnlijk onterecht als validerende resolver geclassificeerd. Dit geeft aan dat het gebruik van DNSSEC op dit moment wordt beperkt door het gebrek aan validerende DNS-resolvers.
Resolvers
Het aantal validerende DNSSEC-resolvers toont een licht stijgende trend. Het is belangrijk om te weten dat we hier alleen resolvers opnemen die meer dan 100 keer om een DNSKEY of DS record hebben gevraagd. Op deze manier filteren we de heel kleine resolvers en de testqueries van gebruikers uit de data. Dan blijft er op een gemiddelde doordeweekse dag een heel kleine subset van ~0,6% van het totaal aantal resolvers over. Deze resolvers kunnen als validerende resolver geclassificeerd worden.
Resolver locaties
Als we kijken naar de geografische verspreiding van validerende DNS-resolvers dan zien we dat vooral de US hoog scoort. Dit was te verwachten omdat het veelgebruikte Google DNS, DNSSEC-validatie ondersteund. Daarnaast zien we uiteraard in Nederland relatief veel validerende resolvers.
DNSSEC-toepassingen (DANE)
DNSSEC garandeert de authenticiteit en integriteit van DNS-data. Deze garanties zijn de basis voor nieuwe toepassingen zoals DANE (DNS-based Authentication of Named Entities). Met DANE is het mogelijk om TLS-certificaten via DNS te koppelen aan een domeinnaam. DANE biedt een goedkoop en veilig alternatief voor het huidige systeem met certificate authorities (CA’s). In de grafiek is goed te zien dat sinds halverwege 2014 het gebruik van DANE is toegenomen.
