Onderzoek: hoe DNSSEC implementeren?

DNSSEC is een uitbreiding op het Domain Name System (DNS), het systeem dat het juiste IP-adres opzoekt bij een domeinnaam. DNSSEC verhelpt een aantal kwetsbaarheden in DNS, waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt. SURF onderzoekt hoe DNSSEC het beste geïmplementeerd kan worden.

Studenten in een bibliotheek

DNSSEC-signing

SURF is nationaal en internationaal een van de pioniers op het gebied van DNSSEC. In 2009 implementeerde SURF DNSSEC op zijn eigen infrastructuur en sinds 2010 biedt het DNSSEC-signing aan als dienstverlening aan zijn klanten. DNSSEC-signing voorziet de gevraagde IP-adresinformatie van een digitale handtekening, waardoor de ontvanger erop kan vertrouwen dat het IP-adres het juiste is. Daarbij wordt gebruikgemaakt van het encryptiesysteem RSA.

Encryptie: van RSA naar ECC

In 2017 heeft SURF RSA vervangen door ECDSA, een encryptiealgoritme gebaseerd op elliptic curve cryptography (ECC). Het nieuwe algoritme moet een specifiek soort DDoS-aanvallen ‒ de zogenaamde DNSSEC amplification DDoS ‒ voorkomen. De overstap heeft geen gevolgen voor gebruikers van het SURF-netwerk.

DNSSEC eenvoudig toegankelijk

SURF maakt de ervaringen met de overstap naar ECDSA toegankelijk maken voor aangesloten instellingen .

SURF wil DNSSEC in het algemeen zo eenvoudig mogelijk toegankelijk maken voor aangesloten instellingen via publicaties, workshops en trainingen bij SURFacademy, presentaties op nationale en internationale evenementen en het aanbieden van DNSSEC-functionaliteit in de dienst SURFdomeinen

Meer informatie