Onderzoek: hoe DNSSEC implementeren?
DNSSEC is een uitbreiding op het Domain Name System (DNS), het systeem dat het juiste IP-adres opzoekt bij een domeinnaam. DNSSEC verhelpt een aantal kwetsbaarheden in DNS, waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt. SURF onderzoekt hoe DNSSEC het beste geïmplementeerd kan worden.
DNSSEC-signing
SURF is nationaal en internationaal een van de pioniers op het gebied van DNSSEC. In 2009 implementeerde SURF DNSSEC op zijn eigen infrastructuur en sinds 2010 biedt het DNSSEC-signing aan als dienstverlening aan zijn klanten. DNSSEC-signing voorziet de gevraagde IP-adresinformatie van een digitale handtekening, waardoor de ontvanger erop kan vertrouwen dat het IP-adres het juiste is. Daarbij wordt gebruikgemaakt van het encryptiesysteem RSA.
Encryptie: van RSA naar ECC
In 2017 heeft SURF RSA vervangen door ECDSA, een encryptiealgoritme gebaseerd op elliptic curve cryptography (ECC). Het nieuwe algoritme moet een specifiek soort DDoS-aanvallen ‒ de zogenaamde DNSSEC amplification DDoS ‒ voorkomen. De overstap heeft geen gevolgen voor gebruikers van het SURF-netwerk.
DNSSEC eenvoudig toegankelijk
SURF wil DNSSEC in het algemeen zo eenvoudig mogelijk toegankelijk maken voor aangesloten instellingen via publicaties, workshops en trainingen, presentaties op nationale en internationale evenementen en het aanbieden van DNSSEC-functionaliteit in de dienst SURFdomeinen.
Meer informatie
- Lees het rapport Deploying DNSSEC, Validation on recursive caching name servers (pdf)
- Lees het blog Elliptic Curve Cryptography: the next big step for DNSSEC
- Bekijk een presentatie van Roland van Rijswijk-Deij over Elliptic Curve Cryptography
- Lees het artikel Making the Case for Elliptic Curves in DNSSEC (pdf) van Roland van Rijswijk-Deij