Wat is DNSSEC?
Alles wat jij moet weten over het gebruik en het implementeren van DNSSEC
Om te begrijpen wat DNSSEC is, moet je eerst begrijpen wat DNS is, ook bekend als Domain name system of Domain name server. DNS vertaalt de URL van een website die je wilt bezoeken in getallen, zodat je computer begrijpt waar je heen wilt. Je computer begrijpt getallen beter dan een URL. Zo vertaalt de DNS die URL in een IP adres als je de URL intypt. In dit artikel gaan we dieper in op DNS. Maar wat is DNSSEC? DNSSEC staat voor Domain name system security extensions. Het is een tool om als eigenaar van een website je klanten te kunnen beschermen door DNSSEC te implementeren.
Op deze pagina
Waarom zou je DNSSEC implementeren?
Laten we beginnen met wat er kan gebeuren als je DNSSEC niet implementeert. Als je bijvoorbeeld besluit een website te bezoeken om aankopen te doen, kun je door hackers opgelicht worden. Je merkt in zo’n situatie waarschijnlijk niet dat de website die je bezocht een kwaadaardige replica is van de eigenlijke website die je wilde bezoeken. Daarom worden veel mensen verleid om alsnog iets te kopen en op deze manier onbewust hun creditcard gegevens aan hackers te verstrekken.
Elke keer als je een website bezoekt, begint je computer queries te maken naar verschillende naam servers om als antwoord de pagina locatie (de nummers/IP adressen) te krijgen. Als de query’s niet veilig zijn, kun je in een gekaapte webomgeving terechtkomen. Die ziet er uit als een al bestaande website, maar dan nagemaakt. De gekaapte webomgeving kan er dus precies zo uitzien als de website die je bedoelde te bezoeken, met alleen één belangrijk verschil: deze website bestaat alleen maar om je op te lichten.
Had de website die je aanvankelijk wilde bezoeken DNSSEC? Dan was dit niet gebeurd en kan de website niet nagemaakt worden. Als je dus een website bezit of van plan bent in de nabije toekomst een website te bouwen, raden we je aan DNSSEC te gebruiken om je website en klanten te beschermen.
Hoe werkt DNSSEC?
DNSSEC valideert zoekopdrachten van jou en je computer om ervoor te zorgen dat je niet in een gekaapte webomgeving terechtkomt. Als DNSSEC de queries heeft doorgekeken, kun je een DNSSEC gevalideerd antwoord of een DNSSEC ondertekend antwoord krijgen. Deze informatie is nodig omdat het je laat weten dat het IP adres/de website die je gaat bezoeken gevalideerd en correct is. Als je een antwoord krijgt waarop staat DNSSEC status niet ondertekend, is het niet gevalideerd en juist.
ICANN heeft een systeem van vertrouwensketens ontwikkeld. In 2010 ondertekende ICANN het zogeheten “root-level domein”. Deze wordt nu gebruikt als DNSSEC validatie. Dit betekent dat op basis van het ondertekende root-level domein, ook de top-level domeinen ondertekend kunnen worden en vertrouwd. Dit gaat als een “waterval effect” verder in deze keten van het vertrouwen systeem. Het is allemaal te danken aan het feit dat de ICANN organisatie het root level domain heeft ondertekend en de veiligheid ervan heeft gevalideerd, dat we een vertrouwensketen systeem kunnen hebben. DNSSEC is erg belangrijk omdat DNS op zichzelf niet zo veilig is. Tegenwoordig kun je DNSSEC gevalideerde antwoorden krijgen aan iedereen die namens je webapplicatie het juiste IP adres wil achterhalen.
DNSSEC Test
Wil je een website op DNSSEC testen? Ga dan naar https://dnssec-analyzer.verisignlabs.com/.
Voer je URL in en wacht op de resultaten.