Veilig communiceren met DNSSEC

Quentin Beglinger | 30 april 2018

Het komt steeds vaker in het nieuws: de beveiliging van websites. Vaak komen daarbij termen als HTTPS en certificaten om de hoek kijken, zoals ook door ons is beschreven in een eerder artikel. Een ander belangrijk onderwerp hierbij is DNSSEC. Wat dit precies is, leggen we in dit artikel uit.

Wat is DNS?

Voordat we naar DNSSEC gaan kijken. is het goed om eerst uit te leggen wat DNS is. DNS staat voor Domain Name System. Het DNS regelt de communicatie tussen een IP-adres en een domeinnaam. Zo wordt DNS gebruikt om domeinnamen (zoals bijvoorbeeld byshosting.nl) te vertalen naar numerieke internetadressen (zoals 192.168.10.1). Elke computer die op internet is aangesloten heeft een IP-adres. Zonder DNS zou het gebruik van een domeinnaam niet mogelijk zijn.

Hoewel IP-adressen zeer efficiënt werken voor computers, is het moeilijk voor mensen om de IP-adressen te onthouden. Laten we zeggen dat telkens wanneer je een website wilt bekijken, je het IP-adres van de website moet intypen, dit is geen handige oplossing. Mensen noemen het DNS-systeem daarom vaak het ‘telefoonboek van internet’. Je voert de naam in en het DNS koppelt het aan het juiste IP-adres en stuurt je netjes door. Uiteraard werkt de onderliggende techniek gecompliceerder, maar dit is de meest duidelijke uitleg zonder teveel technische spreuken.

DNSSEC

DNSSEC (Domain Name System Security Extensions) verbetert de veiligheid van het internet en de systemen die erop vertrouwen. Het is een soort extra check op de veiligheid en net als SSL van belang is voor de veiligheid van het internet in het algemeen en jouw eigen website in het bijzonder.

Het oorspronkelijke doel van DNSSEC was om internet clients te beschermen tegen vervalste DNS-gegevens door digitale handtekeningen die in de gegevens zijn ingevoegd te verifiëren. DNSSEC maakt DNS verifieerbaar: het stelt domeineigenaars in staat hun DNS-records en client te ondertekenen om hun authenticiteit te verifiëren. DNSSEC gebruikt een systeem van openbare sleutels en digitale handtekeningen om gegevens te verifiëren. Het voegt eenvoudigweg nieuwe records toe aan DNS naast bestaande records. Deze nieuwe recordtypen, zoals RRSIG (Signature Resource Record) en DNSKEY, kunnen op dezelfde manier worden opgehaald als gewone records zoals A, CNAME en MX.

Het beveiligen van domeinen met DNSSEC en het implementeren en valideren, zou de meeste DNS-spoofing-aanvallen en een breed scala aan MITM-aanvallen elimineren. Een MITM-aanval is een man-in-the-middle-aanval. Wikipedia legt dit het makkelijkst uit door het een aanval te noemen waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierdoor kan gevoelige data op straat komen te liggen. Zoals een SSL verbinding de website beveiligd, zorgt DNSSEC voor veiligere communicatie tussen de partijen.


Zou je zelf willen controleren of jouw website of die van een ander over DNSSEC beschikt? Dit kan je heel makkelijk hier bekijken.

Benieuwd wat wij voor jou kunnen doen op het gebied van DNSSEC? Neem dan contact met ons op via 050 588 54 50 of info@byyoursite.nl.

even overleggen?

050 588 54 50 info@byyoursite.nl
Westerhaven 13-1 || 9718 AW Groningen

info@byyoursite.nl | 050 588 54 50