Er gaat weer eens een nieuwe term door internetland heen: DNSsec. Maar wat is het nu eigenlijk? Laten we bij het begin beginnen.
Wat is DNS?
Alle apparaten die op internet zijn aangesloten, hebben een zogeheten IP adres: een reeks cijfers, die vergelijkbaar zijn met een telefoonnummer. De reeks cijfers is lastig te onthouden voor mensen, dus vandaar dat er een soort telefoonboek is gemaakt. In dit telefoonboek worden domeinnamen gekoppeld aan IP adressen, zodat mensen niet het IP adres, maar de domeinnaam kunnen onthouden. Dit telefoonboek heet Domain Name System, wat afgekort wordt tot DNS.
Met behulp van DNS wordt dus een domeinnaam zoals bijvoorbeeld bhosted.nl vertaald naar het bijbehorende IP adres 94.124.120.218. En met dat IP adres “weten” alle apparaten waar op internet de server staat waarop het bhosted.nl domein staat.
Het probleem in DNS en het gevaar van “phishing”
Het DNS protocol heeft alleen een probleem: Het is gevoelig voor zogenaamde “man-in-het-midden” aanvallen. Als een website bezoeker naar een website van een bank gaat, dan zal zijn computer het IP adres van de website van de bank opvragen bij de DNS servers van de internet provider. Die DNS server zal het op zijn beurt weer gaan opvragen bij een DNS server die hoger in de hierarchy zit. Zo zijn er een aantal stappen in het DNS systeem nodig om uiteindelijk de website bezoeker het gevraagde IP adres terug te geven.
Als een hacker in één van deze stappen kan ingrijpen door een server te kraken, dan kan de hacker er voor zorgen dat er een heel ander IP adres terug gegeven wordt aan de computer van de website bezoeker. Daarmee wordt het dus voor de hacker mogelijk om de website bezoeker te laten denken dat deze op de website van de bank zit, maar in werkelijkheid zit deze te kijken naar een website die afkomstig is van de computer van de hacker. Met alle gevolgen van dien. Dit fenomeen staat ook wel bekend als phishing.
De oplossing: DNSsec
Om dit te voorkomen moet het dus mogelijk worden om te controleren of het ontvangen IP adres wel echt is. En met de komst van DNSsec is deze controle mogelijk geworden. DNSsec geeft de mogelijkheid om de diverse stappen die genomen worden bij het omzetten van een domeinnaam naar een IP adres met behulp van de uitwisseling van sleutels te controleren.
De status
Inmiddels is de implementatie van DNSsec bij diverse internet partijen in volle gang. De 1e stap is het voorzien van alle domeinnaam van de DNSsec gegevens. Hierbij loopt Nederland voorop. Wereldwijd bekeken bestaat binnen de .nl zone inmiddels het grootste aantal domeinnamen die voorzien zijn van DNSsec gegevens.
Maar dit is pas stap 1 in het proces. Stap 2 is dat alle DNS servers aangepast moeten worden, ook bij uw eigen internet provider. Zoals altijd zijn er internet providers (bijvoorbeeld XS4all) die voorop lopen en de aanpassing inmiddels gemaakt hebben, maar een aantal andere zeer grote spelers heeft nog geen actie ondernomen.
Een andere stap is dat de internet browsers de DNSsec controle gaan uitvoeren. Helaas is dit nog bij geen enkele browser standaard en moeten er dus extensions geïnstalleerd worden. Hierbij een korte verwijzing per browser:
- Internet Explorer: DNSsec validator
- Google Chrome: DNSsec validator
Er moet dus nog een aantal stappen genomen worden voordat DNSsec ondersteund wordt op het gehele internet, maar zeker binnen de .nl zone zijn we op de goede weg. En vraag je je af of jouw internet provider al DNSsec ondersteund? Via de website DNSsec test van de SIDN kan je het controleren.