Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
DNSSEC staat voor DNS Security Extensions. Het is een beveiligingsuitbreiding voor het DNS-systeem. DNS zelf werd in de jaren 80 ontworpen zonder sterke beveiligingsmechanismen. Dit maakte het kwetsbaar voor manipulatie en fraude.
DNSSEC voegt digitale handtekeningen toe aan DNS-records. Elke DNS-zone heeft een sleutelpaar. De private sleutel ondertekent alle records in de zone. De publieke sleutel verifieert die handtekeningen. Zo kun je controleren of de DNS-data authentiek is en niet onderweg is aangepast.
Dit werkt via een vertrouwensketen. Die begint bij de DNS root-zone en loopt via de TLD naar jouw domein. Elke laag valideert de laag eronder met een DS-record. Een resolver controleert de hele keten van boven naar beneden.
DNSSEC beschermt tegen DNS-spoofing en man-in-the-middle aanvallen. Het garandeert authenticiteit en integriteit van DNS-data. Maar het biedt geen vertrouwelijkheid of beschikbaarheid. Nederland loopt voorop: bijna 60% van alle .nl-domeinen is DNSSEC-beveiligd.
DNSSEC voegt digitale handtekeningen toe aan DNS-records. Elke DNS-zone heeft een sleutelpaar. De private sleutel ondertekent alle records in de zone. De publieke sleutel verifieert die handtekeningen. Zo kun je controleren of de DNS-data authentiek is en niet onderweg is aangepast.
Dit werkt via een vertrouwensketen. Die begint bij de DNS root-zone en loopt via de TLD naar jouw domein. Elke laag valideert de laag eronder met een DS-record. Een resolver controleert de hele keten van boven naar beneden.
DNSSEC beschermt tegen DNS-spoofing en man-in-the-middle aanvallen. Het garandeert authenticiteit en integriteit van DNS-data. Maar het biedt geen vertrouwelijkheid of beschikbaarheid. Nederland loopt voorop: bijna 60% van alle .nl-domeinen is DNSSEC-beveiligd.
Geschiedenis
DNSSEC werd ontwikkeld om de beveiligingsproblemen van DNS op te lossen. In 1990 ontdekte Steven Bellovin een ernstige kwetsbaarheid in DNS. Dit rapport bleef geheim tot 1995.
Belangrijke mijlpalen:
- 1997: Eerste DNSSEC-specificatie (RFC 2065) door Donald Eastlake en Charles Kaufman
- 1999: RFC 2535 verbeterde de gebreken in RFC 2065
- 2005: Moderne DNSSEC-standaard (RFC 4033, RFC 4034, RFC 4035)
- 2008: Dan Kaminsky ontdekte een nieuwe DNS-kwetsbaarheid die de urgentie van DNSSEC vergrootte
- 2010: DNS root-zone werd ondertekend en publiek gemaakt
- 2012: SIDN voerde DNSSEC in voor .nl-domeinen
Zweden (.SE) was het eerste landcode-domein dat DNSSEC implementeerde. De ondertekening van de root-zone in 2010 was een keerpunt. Dit creëerde een wereldwijd vertrouwensanker voor DNS-validatie.
Bronnen
- IETF (2005) - RFC 4033: DNS Security Introduction and Requirements
- IETF (2005) - RFC 4034: Resource Records for the DNS Security Extensions
- IETF (2005) - RFC 4035: Protocol Modifications for the DNS Security Extensions
- Cloudflare - How Does DNSSEC Work?
- SIDN - DNSSEC - DNS Security Extensions
- Wikipedia - Domain Name System Security Extensions