Wat is DNSSEC?
DNSSEC staat voor Domain Name System Security Extensions, een reeks toevoegingen aan DNS die voor extra beveiliging van domeinnamen moeten zorgen. Deze cryptografische extensies voegen onder meer een digitale handtekening toe aan de adres-informatie die door een nameserver aan de client wordt uitgereikt, waardoor de authenticiteit ervan geverifieerd kan worden. Ook zorgen ze voor beveiliging tijdens de overdracht van deze gegevens.
Het Domain Name System (DNS), dat sinds 1987 nauwelijks veranderingen heeft ondergaan, is primair verantwoordelijk voor de vertaling van domeinnamen naar IP-adressen. Bij de ontwikkeling van het systeem is nauwelijks rekening gehouden met de beveiliging ervan, waardoor in de loop der jaren (zelfs al in 1990) meerdere kwetsbaarheden ontdekt zijn. DNSSEC is één van de initiatieven die daar met behulp van cryptografie verandering in brengen.
DNSSEC werkt aan de hand van een DNSKEY-record. Deze bevat een publieke sleutel, die net als bij SSL/TLS via een zogeheten chain of trust — een aaneenschakelijk van vertrouwde derde partijen — geverifieerd kan worden. De ontvanger kan er dan van uitgaan dat het DNS-antwoord authentiek is.
Niet alle internet- en hostingproviders, beheerders van domeinextensies en besturingssystemen bieden ondersteuning voor DNSSEC, waardoor de adoptie nog beperkt is. Ter promotie is in Nederland het Kennisplatform DNSSEC opgericht door de Stichting Internet Domeinregistratie Nederland (SIDN).
Niet alle domeinextensies bieden ondersteuning voor DNSSEC, zoals ook blijkt uit ons overzicht van domeinextensies.