DNSSEC
Kwetsbaarheid van DNS
DNS is een systeem dat domeinnamen omzet naar IP-adressen. Je hebt het nodig om te surfen, e-mail te versturen, maar ook voor telefonie, bestandstransfer etc. Het probleem is dat DNS een onbeveiligd protocol is. De uitgewisselde boodschappen zijn niet versleuteld en de origine van het antwoord kan niet eenduidig worden achterhaald.
Het is mogelijk om de tijdelijke opslagruime (cache) van Domain Name Servers te vervuilen met valse informatie, zodat een domeinnaam niet meer aan het juiste IP-adres wordt gekoppeld. Concreet betekent dit dat je niet altijd communiceert met wie je denkt te communiceren omdat niet gecontroleerd wordt of het gegeven antwoord autentiek is en afkomstig van de juiste server.
DNSSEC (Domain Name System Security Extensions) is een beveiligingsuitbreiding op het DNS: het is bedoeld om te voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites.
Hoe kan DNSSEC bescherming bieden?
Aan alle DNS-gegevens van een domein wordt een digitale handtekening verbonden. Wanneer een gebruiker de domeinnaam opvraagt (bezoek website of verzenden e-mail), controleert de resolver, met behulp van de sleutels, de handtekening.
DNSSEC maakt het verkeer veiliger maar is niet de ultieme veiligheidsoplossing. Zo biedt het bv. geen oplossing voor typosquatting en phishing.
In augustus werd de .be-zone ondertekend met DNSSEC. Dat betekent dat handtekeningen en een publieke sleutel werden toegevoegd aan de zone.
Registrars
Sinds 30 september 2010 is DNSSEC volledig operationeel voor .be. DNS.be probeert momenteel zoveel mogelijk registrars te overtuigen om mee in dit verhaal te stappen. We geven opleidingen en voorzien documentatie voor domeinnaamhouders.
Domeinnaamhouders
Voor de internetgebruiker verandert er voorlopig nog niets. Voorzichtigheid blijft altijd nodig bij het bezoeken van websites. De houders van .be-domeinnamen echter, kunnen hun domeinnaam via hun registrar met DNSSEC beveiligen.
Aan alle DNS-gegevens van een domein wordt een digitale handtekening verbonden. Wanneer een gebruiker de domeinnaam opvraagt (bezoek website of verzenden e-mail), controleert de resolver, met behulp van de sleutels, de handtekening.
DNSSEC maakt het verkeer veiliger maar is niet de ultieme veiligheidsoplossing. Zo biedt het bv. geen oplossing voor typosquatting en phishing.
In augustus werd de .be-zone ondertekend met DNSSEC. Dat betekent dat handtekeningen en een publieke sleutel werden toegevoegd aan de zone.
Registrars
Sinds 30 september 2010 is DNSSEC volledig operationeel voor .be. DNS.be probeert momenteel zoveel mogelijk registrars te overtuigen om mee in dit verhaal te stappen. We geven opleidingen en voorzien documentatie voor domeinnaamhouders.
Domeinnaamhouders
Voor de internetgebruiker verandert er voorlopig nog niets. Voorzichtigheid blijft altijd nodig bij het bezoeken van websites. De houders van .be-domeinnamen echter, kunnen hun domeinnaam via hun registrar met DNSSEC beveiligen.