SIDN heeft vannacht succesvol de .nl-zone met DNSSEC ondertekend. SIDN zet hiermee naar eigen zeggen de eerste stap naar een grootschalige uitrol van het nieuwe protocol DNSSEC (Domain Name System Security Extensions) binnen landdomeinnaam .nl. DNSSEC is een uitbreiding op het huidige DNS en maakt het mogelijk dat providers controleren of DNS-gegevens echt te vertrouwen zijn. Het .nl-domein, het volgens SIDN op de drie na grootste landendomein ter wereld, wordt hiermee voor gebruikers nog veiliger.
Het huidige DNS-protocol bevat inmiddels een aantal kwetsbaarheden waardoor er onvoldoende mogelijkheden zijn voor bescherming tegen zaken zoals cache poisening en cyber-aanvallen van een onbekende 'man-in-the-middle'. Via DNSSEC vragen internetgebruikers aan DNS-servers om verwijsgegevens te voorzien van een digitale handtekening. Dat garandeert dat een internetgebruiker wiens ISP een DNSSEC-resolver heeft, onvervalste DNS-gegevens ontvangt. Wanneer een internetgebruiker namelijk de verkeerde DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres. DNSSEC lost deze problemen op en vergroot daarmee de betrouwbaarheid van het DNS. Overigens, benadrukt SIDN, is DNSSEC is niet de ultieme veiligheidsoplossing. Zo biedt het bijvoorbeeld geen oplossing voor typosquatting en phishing en moet de internetgebruiker alert blijven op misleiding.
Zone-ondertekening is het proces van ondertekening van de DNS-records binnen een zonebestand, in dit geval de .nl-zone. Dit proces voegt nieuwe records toe aan de zone (zoals handtekeningen en een publieke sleutel), waarmee de controle van de authenticiteit en de integriteit van de gegevens door resolvers mogelijk wordt gemaakt. Over enkele weken wordt de publieke sleutel van de .nl-zone in de root gepubliceerd en vanaf dat moment is validatie door resolvers die DNSSEC aan hebben staan mogelijk. Het grootste deel van het DNS-verkeer gaat via de resolvers bij ISPs, maar bijna geen enkele ISP heeft op dit moment DNSSEC-validatie al aanstaan. SIDN werkt in het dnssec.nl platform met hen samen om dit te realiseren.
Begin oktober biedt SIDN domeinnaamhouders die al ervaring hebben met DNSSEC de mogelijkheid voor een beperkt aantal domeinnamen hun 'publieke sleutel' aan te leveren. Deze worden dan door SIDN opgenomen in de .nl-zone. Dit Friends & Fans-programma loopt totdat het voor alle .nl-domeinnamen mogelijk is ze te beveiligen met DNSSEC. SIDN zal de verdere invoer van DNSSEC op een stapsgewijze manier doen om de beschikbaarheid van de .nl-zone te garanderen en verwacht hiermee in 2011 klaar te zijn.
