over DNSSEC





DNS

Dankzij het Domain Name System, kortweg DNS, geeft u bijv. http://www.plex.nl in om de Plex site te bezoeken. Zonder DNS zou dat http://213.129.213.80 geweest zijn. Het DNS koppelt o.a. namen aan de IP adressen die voor Internetverkeer gebruikt worden, net zoals een telefoongids namen aan telefoonnummers koppelt.

In de eerste helft van de jaren '90 werd al aangetoond dat de werking van het DNS te verstoren is en dat kwaadwillenden via exotische aanvallen het DNS naar hun hand kunnen zetten. Uw browser geeft dan weliswaar http://www.plex.nl aan, maar in werkelijkheid bent u verbonden met een heel andere server.


DNSSEC (1)

Als reactie zijn de DNS Security Extensions (DNSSEC) bedacht. Met DNSSEC wordt DNS informatie aangevuld met digitale handtekeningen. Met de handtekeningen kan nagegaan worden of de informatie authentiek is en daadwerkelijk bij het domein hoort.

Stap 1 bij DNSSEC is dus om domeininformatie te voorzien van digitale handtekeningen. Domeinnaamhouders doen dit door zich aan te sluiten bij een provider die DNSSEC ondersteunt, zoals Plex.

NL domeinen worden bij Plex standaard van DNSSEC voorzien. Als domeinnaamhouder hoeft u daarvoor zelf niets te ondernemen. Met DNSSEC zijn uw relaties zeker van uw digitale identiteit (web site, E-mail etc.) en loopt u voor op ontwikkelingen op dit gebied.

Links om uw domein op DNSSEC te checken:

   http://dnssec-debugger.verisignlabs.com
   http://dnsviz.net


DNSSEC (2)

Een digitale handtekening die aan een domein toegevoegd is biedt natuurlijk pas bescherming als het daadwerkelijk gecontroleerd wordt. Stap 2 is dus om de handtekening te controleren. Dit moet gedaan worden wanneer informatie uit een domein geraadpleegd wordt, bijvoorbeeld bij het bezoeken van een web site.

Helaas doen de meeste besturingssystemen (Windows, Mac OSX, etc.) dat niet. Daarom zijn bij Plex de DNS servers die door abonnees gebruikt worden omgebouwd tot zgn. validerende servers. Zij controleren DNSSEC informatie. Domeinen die (nog) niet gesigneerd zijn, zijn evengoed te bezoeken.

Omdat de DNS servers bij Plex de DNSSEC validatie uitvoeren hoeft u als abonnee op een Plex verbinding geen instellingen te veranderen.

Link om uw eigen verbinding op DNSSEC werking te testen:

  
http://dnssec.vs.uni-due.de

Addons om tijdens Internetten te zien of de site DNSSEC heeft:

   Firefox
   Chrome


DNSSEC (3)

Voor providers is een overgang naar DNSSEC veel meer dan alleen 'even de knop omdraaien'. U kunt een indruk krijgen van hoe ingrijpend het is door deze link te volgen.
Plex heeft DNS servers in eigen beheer en het DNSSEC certificaat van SIDN als deskundigheidsattest.

Waar gewone DNS informatie statisch is, hebben de digitale handtekeningen van DNSSEC een beperkte levensduur. Ze moeten tijdig ververst en/of vervangen worden. Gebeurt dat niet, dan wordt het domein onbereikbaar.

Stap 3 bij DNSSEC is dus controle op goede werking. Bij Plex worden alle DNSSEC domeinen doorlopend gemonitord.

Als domeinnaamhouder kunt u bovengenoemde links gebruiken om uw domeinen evt. zelf te controleren.


    

webmaster@plex.nl