DNSSEC bij de overheid: de stand van zaken

Helaas is het DNS niet onfeilbaar. Het is mogelijk bezoekers om te leiden naar malafide sites door het IP-adres dat bij een domeinnaam hoort te vervalsen. Dit is mogelijk, omdat in traditioneel DNS een antwoord dat in orde lijkt wordt geaccepteerd, zonder het daadwerkelijk op echtheid te controleren. Om deze kwetsbaarheid te verhelpen is al eind jaren ‘90 een protocol ontwikkeld om DNS te beveiligen. Dit protocol staat bekend als Domain Name System Security Extensions, oftewel DNSSEC.

DNSSEC voorkomt dat kwaadwillenden ongemerkt verkeer om kunnen leiden door DNS-informatie met een code te beveiligen. Met DNSSEC controleert jouw computer via een digitale handtekening of het DNS-antwoord juist is en het IP-adres voor belastingdienst.nl inderdaad van de Belastingdienst is. Op die manier is het omleiden van nietsvermoedende gebruikers via het DNS onmogelijk.

Ook andere beveiligingsfunctionaliteit werkt beter met DNSSEC. Een goed voorbeeld is e-mail. Sinds enige tijd zijn er standaarden waarmee de herkomst van e-mails geverifieerd kan worden. Een ervan (DKIM) staat ook op de pas-toe-leg-uit-lijst. Wanneer de zone waarvandaan e-mail verzonden wordt, met DNSSEC beveiligd is, is de authenticiteit van betreffende e-mails betrouwbaarder te verifiëren.

Kortom: DNSSEC is een protocol dat iedereen zou moeten gebruiken dus, vindt SIDN en velen met ons. Helaas blijkt de praktijk weerbarstig.

Nederland koploper

Hoewel de grondslagen voor DNSSEC al eind jaren ‘90 zijn gelegd, duurde het nog tien jaar voor het protocol wereldwijd van de grond kwam. De voornaamste aanleiding hiervoor was de ontdekking van Dan Kaminsky, een Amerikaanse security-expert, van een aantal kwetsbaarheden in het DNS waartegen DNSSEC bescherming biedt. Medio 2012 werd het beveiligen van domeinnamen met DNSSEC voor .nl-domeinnamen mogelijk. Dankzij een gezamenlijke inspanning van Nederlandse hosting providers en registrars van domeinnamen en SIDN, behoort Nederland nu tot de koplopers op DNSSEC-gebied.

In 2012 nam ook de overheid een belangrijke stap ten aanzien van DNSSEC. In mei kwam het protocol op de zogenaamde pas-toe-of-leg-uit-lijst van de overheid (samen met o.a. IPv6). Dat wil zeggen: overheden zijn sinds dat moment verplicht om voor hun eigen websites DNSSEC toe te passen of uit te leggen waarom ze dat niet doen. Een goede stap die ook internationaal waardering oogstte en navolging heeft gekregen op EU-niveau.

Overheid blijft achter

Inmiddels zijn vier jaar verstreken. 2,5 miljoen .nl-domeinnamen zijn met DNSSEC beveiligd. Een goed moment om de balans op te maken voor wat DNSSEC en de overheid betreft. Helaas is de conclusie dat de goede stap die de overheid in 2012 zette nog onvoldoende navolging heeft gekregen: van de 23 grootste overheidssites zijn er maar tien beveiligd met DNSSEC. Een lijn lijkt daarbij niet zichtbaar: rijksoverheid.nl is gesignd, politie.nl niet.

De vraag is waarom? Een domeinnaam beveiligen met DNSSEC is inmiddels gemeengoed geworden. Problemen met DNSSEC door foutmeldingen of storingen komen vrijwel niet voor. Bovendien is DNSSEC instrumenteel om adoptie van andere standaarden op het gebied van veiligheid, zoals DKIM, te bevorderen.

Het internet veiliger maken is een gezamenlijke verantwoordelijkheid, en overheden kunnen hierin een voorbeeldfunctie vervullen. Door open standaarden te adopteren en actief toe te passen, stimuleert de overheid andere partijen dit ook te doen lager. Op die manier komt een veiliger internet in Nederland snel dichterbij.

Heb jij DNSSEC? Kijk op internet.nl

Wil je weten of jouw website beveiligd is met DNSSEC? Doe dan de test op internet.nl. Blijkt jouw website niet beveiligd te zijn, vraag je hostingprovider dan dit voor je te doen.

Gesigneerde en ongesigneerde domeinnamen bij de overheid