Bij Greenhost zijn we continu op zoek naar manieren om je website beter te beschermen. Op 30 juni 2016 zijn we erin geslaagd om alle .nl domeinnamen die bij Greenhost zijn geregistreerd, te beveiligen met DNSSEC. Gedurende de rest van deze zomer rollen we ook DNSSEC uit voor de rest van de bij ons actieve Top Level Domains (TLD's, bijvoorbeeld .com, .org en .eu) die DNSSEC ondersteunen.
Update: 95% van de domeinnamen die bij Greenhost zijn geregistreerd, zijn vanaf 21 juli 2016 beveiligd met DNSSEC.
Hoe werkt het DNS?
Even een stapje terug. Het internet werkt op basis van het Domain Name System (DNS). Dit systeem maakt gebruik van nameservers om aanvragen voor websites en e-mail af te handelen. DNS wordt vaak omschreven als het telefoonboek van het internet: op basis van een naam kun je het bijbehorende telefoonnummer, of in dit geval IP-adres, opzoeken. Wanneer je in je browser een bij Greenhost geregistreerde domeinnaam opvraagt, krijg je via je Internet Service Provider (ISP, zoals bv KPN of Xs4all), en verschillende nameservers een IP-adres terug. Met dit IP-adres kan je browser onze webservers vinden en wordt de data waaruit de website is opgebouwd, teruggestuurd via je ISP naar je browser. Dit alles gebeurt in een handomdraai.
Wat DNSSEC voorkomt
Van het Domain Name System (DNS) is bekend dat het gevoelig is voor het onderscheppen van aanvragen (Man-in-the-Middle) en het vervangen van verstuurde data (DNS-spoofing). Ongemerkt drukt iemand je een vervalst telefoonboek in handen. Doordat je geen manier hebt om te controleren of de naam en het IP-adres daadwerkelijk bij elkaar horen kan het zijn dat je bij een verkeerde webserver uitkomt. Op die manier kunnen criminelen of malafide instanties internetverkeer aanpassen, zodat nietsvermoedende gebruikers in phishing- of malwarescams terecht komen. DNSSEC steekt daar grotendeels een stokje voor.
Hoe werkt DNSSEC?
De juistheid van DNS informatie kan middels DNSSEC worden gecontroleerd. Bij het opvragen van een IP-adress ontvangt je ISP ook een sleutel. Deze sleutel kan door je ISP worden vergeleken met een publieke sleutel die bij de TLD beheerder staat. Voor .nl domeinen zijn de publieke sleutels dus te vinden op servers van SIDN. Op deze manier weet je zeker dat je ISP verbinding maakt met de juiste webserver.
De limitaties en de toekomst van DNSSEC
Het verkeer tussen je ISP en je browser is helaas nog niet zonder meer beveiligd. Het is dus bijvoorbeeld nog steeds sterk af te raden om op een openbaar WiFi-netwerk je bankzaken te regelen. DNSSEC biedt wel de mogelijkheid voor implementaties in browsers, waardoor deze in de toekomst gebruikers mogelijk wel kunnen waarschuwen voor DNS-spoofing aanvallen. Deze ontwikkeling is nog in volle gang; bijvoorbeeld deze FireFox-plugin doet een serieuze poging.
Je kunt je domeinnaam zelf checken
Wil je weten of jouw domeinnaam al DNSSEC ondersteunt? Check hier dan je eigen domeinnaam.
Meer informatie over DNSSEC?
Ben je geïnteresseerd in de technische details van DNSSEC? Bekijk dan de informatieve website dnssec.nl.