#DNSsec

Het huidige DNS protocol zit geen controle of het antwoord van een DNS query niet is aangepast tijdens het transport naar de ontvanger. Hierdoor kan er geen garantie gegeven worden of de bezoekers wel op de juiste website terecht komen. Maar ook of er geen server tussen de bezoeker en website is geplaatst is, die het verkeer tussen deze twee punten aftapt.

Om dit bovenstaande probleem op te lossen is er DNSsec in het leven geroepen.

Zoals het gepresenteerd wordt is DNSsec een uitbreiding op DNS. Persoonlijk vind ik DNSsec een beveiligingsupdate van DNS.

Om DNSsec goed te ondersteunen moet de gehele DNS keten DNSsec ondersteunen.

DNS authoritative -> DNS resolver -> Computer gebruiker -> browser.

Wanneer een bedrijf voor de vraag staat “Moeten wij eerst DNSsec uitrollen op onze authoritative DNS server of DNS resolver?” moet je eerst kiezen voor je DNS resolver en daarna voor de authoritative DNS en je domeinen.

Hierdoor zorg je dat je klanten die gebruik maken van je DNS resolvers nu ook de DNSsec capaciteiten gebruik kunnen maken van de DNSsec enabled domeinen. Daarnaast zorg je ervoor dat je een eigen controle mechanisme hebt die controleert of het signing proces juist is doorlopen en dus of de DNS records ook te bereiken zijn via DNSsec resolvers.

Als ISP heb je een maatschappelijke verantwoordelijkheid om je klanten tot een zekere maten te beschermen voor de gevaren van het internet.

Het valideren van DNSsec op je DNS resolvers is een van deze maatregelen. Om het succes van DNSsec te garanderen moeten alle providers DNSsec validatie op de resolvers uitvoeren.

Tevens zonder DNSsec enabled resolvers heeft het geen zin op DNS signed domeinen te gaan gebruiken.

Op dit moment zijn er in Nederland een aantal providers die gebruik maken van DNSsec.

Zoals gezegd het is van maatschappelijk belang dat DNSsec geactiveerd wordt op de resolvers bij de ISP.

Hoe meer DNS resolvers, des te zichtbaarder zijn domeinen met DNSsec fouten.