DNSSEC zorgt voor veiliger internet

03 April 2018

De omzet van Nederlandse webwinkels die producten en/of diensten verkopen, bedroeg € 22,5 miljard in 2017. De online bestedingen zijn in 2017 met 13% gestegen. Daarmee ook de beveiliging. Veel mensen weten inmiddels wel dat je moet letten op dat veiligheidsslotje bij de URL in de browser als je een website bezoekt. Maar wat als de URL, dat slotje en de site er normaal uitzien en je toch op een valse server zit? In dit artikel leggen we uit hoe DNSSEC voorkomt dat gebruikers hun gegevens aan de verkeerde partij doorgeven.

DNS en IT-security

E-commerce, internetbankieren en online interactie blijven groeien. Daarom wordt IT-security steeds crucialer voor consumenten én bedrijven. Een onveilige website of een datalek? Dat resulteert straks in meer dan alleen reputatieschade en omzetderving. Onder de nieuwe Europese wetgeving GDPR kunnen bedrijven per 25 mei ook een aanzienlijke boetes krijgen. IT-security staat dan ook bij vele bedrijven hoog in de prioriteitenlijst. Een belangrijk aandachtspunt is het DNS (Domain Named System). Dit is een van de belangrijkste bouwstenen van het internet.

Het DNS functioneert als een soort telefoonboek op het internet
Het vertelt de browser waar een website zich precies bevindt. Bijvoorbeeld dat de website van info.nl op de server met IP-adres 80.79.203.145 staat. De browser maakt vervolgens de verbinding met die server en toont de website. Het DNS verifieert echter niet of het IP-adres wel klopt en het communiceert bovendien onversleuteld. Daardoor kunnen kwaadwilligen ervoor zorgen dat je een ander IP-adres bezoekt, waarop een exacte kopie van de website staat, inclusief het veiligheidsslotje of een soortgelijke URL. Het enige verschil is dat alle gegevens die je invoert terecht komen bij de verkeerde personen of partijen.

Helaas komt fraude via het DNS – bijvoorbeeld door DNS spoofing of cache poisoning attacks – steeds vaker voor. Een van de meest effectieve middelen tegen DNS-aanvallen is het digitaal ondertekenen van het IP-adres met DNSSEC.

Wat is DNSSEC en hoe werkt het? 

DNS-servers op het internet werken samen om de browser naar de server te krijgen die hoort bij de URL. In elke contact bestaat het risico dat de data worden gemanipuleerd. Met DNSSEC krijgt ieder antwoord van een DNS-server een digitale handtekening. Daarmee wordt bewezen dat het verkregen antwoord ook afkomstig is van de juiste bron en niet onderweg is gewijzigd. DNSSEC voegt authenticatie en zekerheid toe bovenop het DNS. Maar hoe werkt het in de praktijk?

DNSSEC in de praktijk: chain of trust
Het bezoeken van een website gebeurt in drie stappen:

  1. Je wilt bijvoorbeeld de website van info.nl bezoeken. Dat begint met een verzoek voor .nl domeinen bij de ICANN (Internet Corporation for Assigned Names and Numbers). Deze organisatie houdt de infrastructuur van het internet stabiel en veilig.
  2. Je wordt door de ICANN doorverwezen naar de SIDN (Stichting Internet Domeinregistratie Nederland). Deze stichting beheert in Nederland de .nl domeinen. Vervolgens vraag je aan SIDN de locatie voor de website van info.nl.
  3. De SIDN wijst je browser naar de DNS-server van info.nl. Deze wordt door een internetprovider of door het bedrijf zelf beheerd. Deze DNS-server geeft je uiteindelijk het juiste IP-adres zodat je op de juiste website terecht komt.

Als DNSSEC in iedere stap wordt toegepast, ontstaat er een ‘chain of trust’. Iedere stukje informatie wordt door de verschillende DNS-servers geverifieerd. ICANN gebruikt DNSSEC sinds 2009, SIDN ondersteund DNSSEC sinds 2012. Nu is het dus aan Internetproviders zoals Info.nl om de derde en laatste stap in deze 'chain of trust' te worden. De Nederlandse overheid heeft DNSSEC min of meer verplicht gesteld voor overheidsdomeinen.

Voor meer inhoudelijke informatie over de werking van DNS, kunt u hier terecht.

Starten met DNSSEC

Internetgebruikers merken niets van DNSSEC. Het is vooral een ‘technische’ oplossing voor een groeiend probleem waar gelukkig nog niet veel consumenten mee te maken hebben gehad. Voor bedrijven is DNSSEC de volgende noodzakelijke stap voor het online zakendoen.

Om die reden, zal info.nl in het tweede kwartaal van 2018 alle .nl domeinen in haar beheer omzetten naar DNSSEC. Je hoeft als klant van info.nl hier verder niets meer voor te doen. Op dit moment is het nog niet mogelijk om andere domein extensies (.com, .org, etc.) te beveiligen met DNSSEC. De implementatie van DNSSEC zal geen negatieve impact hebben op de prestaties van onze DNS-servers. Dit hebben wij uitvoerig getest.

Meer weten?