Vanaf deze zomer ondertekent Internet Service Provider BIT ook de reverse domeinnamen (rDNS) voor zijn klanten. Dat wil zeggen dat ook de vertaling van een IP-adres terug naar een hostname is voorzien van een digitale handtekening (RRSIG record), en dat voor zowel IPv4 als IPv6.
Bestaande PowerDNS-systeem
"We hebben alle IP-ranges waarvan wij zelf de eigenaar zijn ondertekend", vertelt Sander Smeenk, hoofd systeembeheer bij BIT. In principe werkt dat hetzelfde als bij forward DNS. We gebruiken gewoon ons bestaande PowerDNS-systeem voor het ondertekenen van de reverse records."
"Het enige dat anders is, is het aanmelden van onze publieke KSK-sleutel (een DS record) bij RIPE NCC [verantwoordelijk voor de IP-adresruimten in groot-Europa en West-Azië]. Zij hebben geen EPP-ingang voor dit soort aanpassingen, dus gebruiken we hun auto-dbm mail-robot."
Klanten die zelf het beheer van hun reverse DNS doen — dat wil zeggen het DNS-beheer over hun adresblokken van BIT gedelegeerd hebben gekregen — kunnen hun DNSKEY record bij BIT registreren voor opname in de bovengelegen reverse zone, waarmee de cryptografische chain-of-trust gesloten wordt.
"Omdat het kan"
Voor BIT is er geen bijzondere reden of aanleiding om DNSSEC ook op de reverse DNS aan te zetten. "We hebben de techniek goed in de vingers en vertrouwen in onze productiestraat", aldus Smeenk. "We doen het omdat het kan."
Marco Davids, onderzoeker bij SIDN Labs, beaamt dat DNSSEC voor reverse DNS minder urgent is dan voor forward DNS. "De aanvalsvectoren op reverse DNS zijn van een lagere orde grootte. Maar kwaad kan het zeker niet: ook ondertekening van de reverse DNS draagt bij aan de veiligheid. Dat BIT DNSSEC nu ook doorvoert op de reverse DNS bewijst inderdaad dat ze de techniek goed beheersen. DNSSEC is inmiddels een standaard onderdeel van DNS aan het worden."