*.nl krijgt DNSSEC

Nog even en dan is het internet weer iets veiliger. Afgelopen april schreef ik samen met collega Bart Knubben dat de markt een afwachtende houding aanneemt met betrekking tot de invoering van DNSSEC. Daar lijkt nu eindelijk verandering in te komen. SIDN heeft namelijk bekend gemaakt dat het vanaf augustus 2010 start met de invoering van DNSSEC voor de .nl-zone; een maand nadat de rootservers DNSSEC ondersteunen.

Hiermee lijkt een einde te komen aan de onderzekerheid met betrekking tot de komst van DNSSEC ondersteuning. In september 2008 maakte SIDN namelijk bekend dat het vanaf 2009 zou overstappen op DNSSEC. Toen bleef  het lange tijd stil en ongeveer een jaar later liet SIDN weten de invoering van DNSSEC voor onbepaalde tijd uit te stellen. Dit zou te maken hebben met de complexiteit van het DNSSEC protocol en het feit dat er nog onvoldoende vraag naar was. Volgens deze PDF is de vraag echter nog steeds beperkt, maar zijn de beveiligingsproblemen omtrent DNS dusdanig groot dat registry’s er toch voor kiezen om DNSSEC te gaan ondersteunen. En dat is simpelweg goed nieuws!

Daarnaast wijst SIDN nadrukkelijk op het feit dat DNSSEC niet alleen technisch maar ook organisatorisch complexer is. Hierdoor neemt de kans op menselijke fouten toe. Fatsoenlijke DNSSEC-software kan deze kans verkleinen, maar een goed open source alternatief ontbreekt. Daarom draagt SIDN samen met andere partijen bij aan de ontwikkeling van OpenDNSSEC. Het ontwikkelteam van OpenDNSSEC is inmiddels aangekomen bij release candidate 1 van de software, dus dat gaat de goede kant op.

Hopelijk zet de huidige stroomversnelling omtrent de invoering van het DNSSEC door, zodat we eind 2010 allemaal gebruik maken van DNSSEC. Het duurt (helaas) even, maar dan heb je ook wat.