In mijn vorige bericht heb ik geschreven over de uitdaging die we zijn aangegaan met de SIDN. Een onderdeel van de DNS check zoals de SIDN die heeft uitgevoerd is DNSSEC. Nou had ik experimenteel al DNSSEC her en der draaien maar door een gebrek aan de juiste software konden we het nog niet aanbieden aan onze klanten.
Per heden zijn alle domeinen die bij uHost ondergebracht zijn beveiligd met DNSSEC. Wilt u de proef op de som nemen? Wij gebruiken zelf de tools van VeriSign en Pingdom.
Wat is DNS
Aanschouw de volgende grafische weergave:
Hier zien we dat de bezoeker met zijn browser (de client) naar de website uhost.nl wil gaan. Zijn computer zal aan de DNS server van zijn provider (KPN, Ziggo etc.) vragen welk IP adres toebehoort aan uhost.nl. De DNS server van zijn provider zal dat vervolgens aan onze nameservers vragen en onze nameservers zullen een antwoord terug geven, in dit geval 128.204.197.27. Dit antwoord zal vervolgens door de DNS server van de provider van de bezoeker weer doorgegeven worden aan de computer van de bezoeker waarna de browser de webpagina opent.
Dit is een eenvoudige weergave van hoe DNS werkt, en dit beperkt zich niet alleen tot webpagina’s maar ook e-mail en andere internetprotocollen.
Wat is DNSSEC en waarom is het belangrijk?
DNSSEC is een cryptografische beveiliging voor het DNS protocol welke waarborgt dat het antwoord wat verkregen is authentiek is. In het voorbeeld hierboven is op eenvoudige manier uitgelegd hoe DNS werkt maar in de praktijk is het iets ingewikkelder en zijn er ook nog root nameservers mee gemoeid. Tussen elke computer / server zou de data onderschept en aangepast kunnen worden maar met behulp van DNSSEC kan dit geweerd worden.
Is DNS dan onveilig?
In principe wel maar in de praktijk wordt vrijwel (nog) geen misbruik gemaakt van dit mechanisme. Experts denken dat dit komt omdat de client (browser / computer van bezoeker) op dit moment de zwakste schakel in de keten is waardoor misbruik daarvan makkelijker is en dus veel gebeurt (denk aan virussen). Dit wil niet zeggen dat dat in de toekomst ook zo blijft.
Mocht u nog iets tegenkomen met de DNS check of wilt u ook gebruik maken van onze diensten neem dan contact op met info@uhost.nl.