Domeinnaamhandtekening (DNSSEC)*

I. Algemeen

Wat is DNS?

Domain Name System (DNS) is het registratiesysteem van namen en bijbehorende nummers op het internet. Het is vergelijkbaar met een telefoonboek. Dit systeem kan worden bevraagd om namen naar nummers te vertalen en omgekeerd.

Waarom DNS?

Ieder apparaat dat met het internet is verbonden, heeft een uniek numeriek adres namelijk het IP-adres. Voorbeelden daarvan zijn 94.198.159.35 (IPv4) en 2a00:d78:0:712:94:198:159:35 (IPv6). Omdat IP-adressen moeilijk te onthouden zijn én bovendien nog wel eens kunnen wijzigen, zijn domeinnamen in het leven geroepen. Een voorbeeld is example.nl. Een domeinnaam zie je onder andere in de balk bovenin je webbrowser als je een website bezoekt. Maar je gebruikt ook een domeinnaam als je e-mail adresseert, bijvoorbeeld aan iemand@example.nl. DNS knoopt domeinnamen en IP-adressen aan elkaar.

Is DNS beveiligd?

Nee, de vertaling van domeinnaam naar IP-adres is niet beveiligd. Daardoor kan een kwaadwillende de vertaling vervalsen en een gebruiker omleiden naar een kwaadaardig IP-adres. Gelukkig bestaat er een oplossing, namelijk DNSSEC.

Wat is DNSSEC?

DNSSEC, een afkorting van Domain Name System Security Extensions, breidt DNS uit met een extra beveiligingslaag. Het zorgt ervoor dat de vertaling van domeinnaam naar IP-adres is voorzien van een digitale handtekening. Een internetgebruiker kan die handtekening automatisch laten controleren.

Waarom DNSSEC?

Door de domeinnaam-handtekening te controleren kan een kwaadwillende de vertaling niet langer ongemerkt vervalsen. Dit voorkomt dat de gebruiker kan worden misleid naar een kwaadaardig IP-adres.

Wat beveiligt DNSSEC precies?

DNSSEC zorgt ervoor dat authenticiteit en integriteit van DNS-vertalingen kan worden gecontroleerd. De vertrouwelijkheid beschermt DNSSEC echter niet. DNS-vertalingen kunnen dus wel nog worden afgeluisterd, maar ze zijn niet meer te manipuleren.

Biedt DNSSEC nog andere voordelen?

Andere beveiligingsstandaarden kunnen voortbouwen op DNSSEC als onderliggende beveiligingslaag. Behalve IP-adressen kan namelijk ook andere domeindata in de DNS worden geregistreerd. Standaarden als SPF, DKIM, DMARC (anti-phishing) en DANE (beveiligde verbindingen) maken daar gebruik van. Deze profiteren van de betrouwbaarheid die DNSSEC biedt.

  • bron “internet.nl”