Naast BIND en NSD hebben we onlangs DNS-software van een 3e leverancier toegevoegd aan de DNS-infrastructuur van SIDN. Het betreft Knot DNS, software gemaakt door de Tsjechische registry CZ.NIC. We leggen je graag uit hoe het zit.
DNS voor .nl
Naast het mogelijk maken van het registeren van .nl-domeinnamen hebben we de belangrijke taak om te zorgen dat deze domeinnamen kunnen werken op het internet, via het Domain Name System (DNS). Als registry voor .nl, maar ook als infrastructuur-leverancier voor de nieuwe topleveldomeinen .amsterdam en .politie en voor het landendomein .aw (Aruba), hebben we een belangrijke rol binnen de totale DNS name space. Wil je bijvoorbeeld naar https://example.nl/ surfen met je browser, dan moet deze weten wat het IP-adres is van de bijbehorende webserver. Via de name servers van de root (het begin van de DNS-hiërarchie), komt een zogenaamde resolver* langs de name servers van .nl om uiteindelijk het antwoord op de vraag te krijgen van de name server van ‘example.nl’.
Zowel de root als het daaronder liggende .nl-niveau zijn dus erg belangrijk. Als er een probleem zou zijn met het DNS op het niveau van .nl, waar wij verantwoordelijk voor zijn, zou dat gevolgen kunnen hebben voor de bereikbaarheid van miljoenen servers en e-mailadressen.
Uptime 100%!
In tegenstelling tot veel ICT-systemen, en zelfs ons eigen domeinnaamregistratiesysteem, vinden we dat het DNS voor .nl (en de andere TLD’s waarvoor we technisch verantwoordelijk zijn), een beschikbaarheid moet hebben van 100%, geen 99-komma-nog-wat. En dus hebben we ons gewapend tegen alle denkbare risico’s, zoals DDoS-aanvallen, menselijke fouten, systeemfouten, het risico van een faillissement, het compromitteren van onze systemen, of het falen van hard- en software van een bepaald merk. De betreffende uitgebreide risicoinventarisatie en de daaruit voortvloeiende, soms verstrekkende maatregelen, zijn onderdeel van ons DNS-beleid, dat is opgesteld en wordt beheerd door ons DNS-operationsteam.
Het gaat wat ver om het hele DNS-beleid hier toe te lichten, maar 1 van de getroffen maatregelen is, dat we niet afhankelijk willen zijn van slechts 1 merk software. Daarom gebruiken we al sinds jaar en dag open-source software van 2 zeer competente organisaties, te weten BIND van ISC en het uitstekende DNS-product van Nederlandse bodem: NSD van NLnetLabs. De gedachte achter deze verscheidenheid in software is, dat een kwetsbaarheid in software van een bepaald merk niet zomaar de beschikbaarheid van de .nl-zone in gevaar kan brengen. Als de software van de ene leverancier een kwetsbaarheid blijkt te bevatten, dan kunnen we altijd terugvallen op de andere software.
Nieuw lid van de familie: Knot DNS
We zijn blij dat we na uitgebreid testen een nieuwe telg aan onze DNS-softwarefamilie hebben kunnen toevoegen. Het betreft Knot DNS van onze collega’s van CZ.NIC. Deze software voldoet aan alle hoge, technische eisen die we stellen. Sinds begin oktober is Knot DNS operationeel voor zowel .nl, .amsterdam, .politie als .aw waardoor we nog meer verscheidenheid in ons DNS-platform voorhanden hebben.
Marc Groeneweg, coördinator van het DNSops-team is blij met de nieuwe aanwinst en laat weten: “Knot DNS is vanaf de grond opnieuw ontwikkeld. Dat heeft veel voordelen, maar als nadeel ook dat het nog weleens wat kinderziektes kan bevatten. Gelukkig zijn de contacten met de Tsjechische collega’s uitstekend. We hebben Knot DNS flink aan de tand kunnen voelen en aanvankelijk haalden onze DNS-specialisten er ook nog enkele bugs uit. Maar gaandeweg werd Knot DNS stabiel en ontstond het benodigde vertrouwen. Inmiddels is Knot DNS volledig ingebed in onze ICT-beheeromgeving en sinds begin deze maand dus ook daadwerkelijk operationeel. Een mooie mijlpaal in onze continue verbetering van het .nl-domein.”
* Als je hier meer over wilt weten, bekijk dan eens onderstaand filmpje over DNS.
