Onderzoek: hoe DNSSEC implementeren?

DNSSEC is een uitbreiding op het Domain Name System (DNS), het systeem dat het juiste IP-adres opzoekt bij een domeinnaam. DNSSEC verhelpt een aantal kwetsbaarheden in DNS, waardoor de 'bewegwijzering' van het internet veiliger en vertrouwder wordt. SURF onderzoekt hoe DNSSEC het beste geïmplementeerd kan worden.

Studenten in een bibliotheek

DNSSEC-signing

SURFnet is nationaal en internationaal een van de pioniers op het gebied van DNSSEC. In 2009 implementeerde SURFnet DNSSEC op zijn eigen infrastructuur en sinds 2010 biedt het DNSSEC-signing aan als dienstverlening aan zijn klanten. DNSSEC-signing voorziet de gevraagde IP-adresinformatie van een digitale handtekening, waardoor de ontvanger erop kan vertrouwen dat het IP-adres het juiste is. Daarbij wordt gebruikgemaakt van het encryptiesysteem RSA.

Encryptie: van RSA naar ECC

In 2017 zal SURFnet RSA vervangen door ECDSA, een encryptiealgoritme gebaseerd op elliptic curve cryptography (ECC). Het nieuwe algoritme moet een specifiek soort DDoS-aanvallen ‒ de zogenaamde DNSSEC amplification DDoS ‒ voorkomen. De overstap heeft geen gevolgen voor gebruikers van het SURFnet-netwerk.

DNSSEC eenvoudig toegankelijk

SURFnet zal de ervaringen met de overstap naar ECDSA toegankelijk maken voor aangesloten instellingen en via het SURF Innovatieblog technische informatie delen.

SURFnet wil DNSSEC in het algemeen zo eenvoudig mogelijk toegankelijk maken voor aangesloten instellingen via publicaties, workshops en trainingen bij SURFacademy, presentaties op nationale en internationale evenementen en het aanbieden van DNSSEC-functionaliteit in de dienst SURFdomeinen

Meer informatie