Goedgelovig DNS

Het Domain Name System dat verantwoordelijk is voor o.a. de vertaling van servernamen naar IP-adressen is vrijwel onbeveiligd. Dit betekent dat het, met de nodige inspanning en kennis van het DNS-protocol, mogelijk is om valse antwoorden te sturen naar partijen die DNS vragen stellen. In extreme gevallen kan dit ertoe leiden dat een gebruiker wordt verbonden met de verkeerde server.

DNS-antwoorden met handtekening

DNSSEC is ontwikkeld om antwoorden uit DNS cryptografisch te ondertekenen waardoor de juistheid van het antwoord in principe gewaarborgd is. DNSSEC-handtekeningen worden op dit moment nog niet veel gecontroleerd waardoor de geboden bescherming minimaal is, maar de verwachting is dat dit de komende jaren zal veranderen. Nederland is één van de koplopers op het gebied van de DNSSEC-uitrol bij nameserverbeheerders.

Nieuwe complexiteit

DNSSEC voegt een extra laag met veel cryptografische complexiteit toe aan DNS. Door gebruik te maken van DNSSEC worden DNS-antwoorden langer, en als de cryptografische gegevens niet met elkaar in overeenstemming zijn dan kunnen records of zelfs hele zones onbruikbaar worden. Bovendien moeten de cryptografische sleutels veilig worden opgeslagen en moeten DNS-records regelmatig van nieuwe handtekeningen worden voorzien.

Gelukkig kan NederHost de DNSSEC-eigenschappen van uw domeinnaam geheel voor u beheren, waardoor het inschakelen van DNSSEC zo eenvoudig is als het zetten van een vinkje bij de instellingen van uw domeinnaam in Mijn NederHost.