XS4ALL eerste landelijke provider die DNSSEC activeert
XS4ALL is de eerste landelijke internetprovider die DNSSEC heeft geactiveerd, om zo om klanten beter tegen frauduleuze websites te beschermen. Dat heeft het bedrijf vandaag bekendgemaakt. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.
"Het probleem is dat DNS “goedgelovig” is. Malafide hackers weten het DNS dikwijls om de tuin te leiden en een andere naam aan een IP-adres te koppelen. Argeloze internetters worden dan omgeleid naar een namaakwebsite, alwaar ze door de hackers te grazen worden genomen", aldus XS4ALL. Als oplossing is DNSSEC ontwikkeld. Dit is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd.
Een bekende DNS-aanval is 'DNS cache poisoning'. Hierbij wordt geprobeerd de cache van de DNS-aanbieder te vervuilen, zodat die een ander ip-adres aan gebruikers teruggeeft, die dan bijvoorbeeld worden doorgestuurd naar een website van de aanvaller. Om dit soort aanvallen tegen te gaan moet de authenticiteit van een DNS-respons worden gecontroleerd. DNSSEC lost dit probleem op door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren."Met DNSSEC weet u zeker dat de website die u bezoekt ook daadwerkelijk de website is die u wilt bezoeken", stelt XS4ALL.
Volgens de provider is het probleem hier niet mee opgelost. Niet alle websites zijn namelijk opgenomen in de DNSSEC-lijst. Zelfs websites die eigenlijk heel veilig zouden moeten zijn, zoals die van banken, doen lang niet altijd mee "Dat komt doordat het soms veel moeite en geld kost om een domein helemaal compatible te maken met DNSSEC. En omdat DNSSEC pas werkt als zowel de website als de internetprovider het ondersteunt, ontstaat er een kip-en-ei-probleem. Websitebeheerders wachten tot internetproviders DNSSEC ondersteunen, terwijl internetproviders juist wachten tot meer websites het gebruiken. Tja, dan kun je dus lang wachten", laat XS4ALL weten.
De provider heeft er daarom voor gekozen met DNSSEC te beginnen. 45% van de Nederlandse websites heeft al DNSSEC en is door XS4ALL-klanten per direct veilig te bezoeken. Van de overige 55% zegt de provider de veiligheid helaas nog niet te kunnen garanderen. "Al zullen we het juiste ip-adres van belangrijke of populaire sites handmatig toevoegen aan onze lijst met veilige domeinen. We hopen overigens dat er snel meer websites en internetproviders zullen volgen."
Peter
Even een korte test bij 2 banken:
ING: Niet beveiligd via DNSSEC
SNS: Wél beveiligd via DNSSEC
Dat een 'gewone' site daar geen geld en tijd aan besteedt kan ik me nog iets bij voorstellen, maar banken zouden toch echt op de voorste rij moeten zitten om hieraan mee te doen...
Trouwens een uitstekend initiatief van XS4ALL!
Peter
Zelf al een hele tijd DNSSEC en TLSA met mijn sites, ook al zitten die niet bij Xs4all. Voor de Website boeren is het aantrekkelijk gemaakt, door het SIDN, om DNSSEC te implementeren, door een korting tegen op domeinen met DNSSEC.
SIDN promoot zelf KNOT als DNS platform samen met CZNIC en ik hoopte dat Xs4all had gekozen voor deze oplossing naast de eerste DNSSEC server van hun.
Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan. De plug-ins van wederom CZNIC zijn niet meer helemaal compatibel met de huidige browser generatie en hier zijn wij in de tijd, op achteruit gegaan.
Ik ben zelf klant bij Xs4all zoals op te maken uit mijn tekst en ben ook gecharmeerd van de jongen en meiden in Tsjechië hier doen.
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
DNSSEC is voor mij al lang niet meer relevant. Dat is iets van jaren geleden. Al mijn nameservers ondersteunen al jaren DNSSEC met DANE. Gepoch wordt dan weer gewoon relevant. Vooral omdat ze dat al bijna 25 jaar doen.
Peter
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.
Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.
Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.
Idd, helemaal mee eens. Te veel gedoe met een te grote foutgevoeligheid. Dit betreft een vrij omslachtige oplossing voor een probleem wat bij een goede DNS provider niet hoeft op te treden.
Ik heb veel meer behoefte aan DNSCrypt...
Peter
Zeker z'n een of ander hoby clubje :P
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.
Oh, dus uit angst dat je een fout kan maken doen we het maar niet?
Wat betreft tijd, goed onderhoud vergt nou eenmaal tijd. En is niet alleen maar simpel een paar updatejes installeren. Maar ook met je tijd meegaan en bereid zijn om ingewikkelde dingen te implementeren. *zucht*
Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.
Tja, dit maakt jou net zo argeloos als die gene die zijn server naar jouw mening niet goed beveiligd. Jammer dat jij zo weinig om de veiligheid van jouw bezoekers geeft. Daarnaast lijd je door je eigen laksheid ook nog eens imagoschade. Het is dat je je domeinnaam niet bekendgemaakt hebt. Maar dat is misschien maar beter ook. Nu ik een bepaalde indruk heb verkregen over hoe jij over veiligheid denkt bezoek ik liever niet jouw domein / website.
Peter
Of ze daarmee de eerste zijn weet ik niet.
--
b.
In Zweden (zo werd mij uitgelegd) is er een overkoepelende DNS-provider …
Dat verklaart waarom Zweden één van de 4 landen in de wereld is die twee jaar geleden boven de 50% gebruik uit kwam. Volgens de kaart onderaan deze pagina: https://dnssec.vs.uni-due.de.
Een grote speler als OpenDNS gebruikt bij mijn weten nog geen DNSSEC.
Wat xs4all gedaan heeft is het aanzetten van DNSSEC _validatie_ op alle resolvers die de xs4all klanten gebruiken.
(Het stond al aan op hun tweede resolver, maar nu ook op de primaire ).
Dat betekent dat xs4all klanten nu geen DNS antwoord meer krijgen als DNSEC niet klopt - soms als er een echte hijack gedaan is en vaak als de dns admin van het domein iets stuk gemaakt heeft .
Op een ander netwerk "werkt het dan gewoon" , en als de xs4all klant google of opendns instelt, 'werkt' het domein ook .
Er zal best een tijdje nagedacht zijn over die consequenties - en waarschijnlijk /hopelijk naar statistieken gekeken van niet-validerende domeinen .
Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan.
Lijkt me logiscg dat je de site dan helemaal niet te zien krijgt?
Even een korte test bij 2 banken:
ING: Niet beveiligd via DNSSEC
SNS: Wél beveiligd via DNSSEC
Dat een 'gewone' site daar geen geld en tijd aan besteedt kan ik me nog iets bij voorstellen, maar banken zouden toch echt op de voorste rij moeten zitten om hieraan mee te doen...
Trouwens een uitstekend initiatief van XS4ALL!
Tja. Soms hoor ik mensen vertellen dat ze na een tijdje werken bij ING hun geld er maar weggehaald hebben. Er schijnt nog wat achterstand te zijn in de ICT, omdat het tot 2012 een goed idee leek om de winst op te krikken door op ICT te bezuinigen. Net als bij de Deltawerken moet je dan soms ineens een heel fors inhaalslagje doen op je achterstallige onderhoud om weer op een aanvaardbaar veiligheidsniveau te zitten. Maar ik zie ook hele goede lui bij ING bezig dus ik heb vertrouwen dat het goed komt.
Aan validatie heb je niets zonder DNSSEC-ondertekende domeinnamen en vice versa. Volgens SIDN zijn momenteel
2566763 van de 5676125 .nl-domeinnamen (ruim 45%) -waaronder rijksoverheid.nl, snsbanknv.nl, bit.nl, transip.nl en xs4all.nl- ondertekend met DNSSEC.
.
Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan.
Lijkt me logiscg dat je de site dan helemaal niet te zien krijgt?
Er zal iets getoond moeten worden want anders gaat de gebruiker zoeken naar wat er misgaat. Nu krijg je inderdaad een lege pagina met de foutmelding dat de site niet gevonden kan worden als DNSSEC door jouw DNS provider wordt ondersteund.
Test het zelf eens met www. dnssec-failed. org of jij anders wat te zien krijgt(let op ik heb twee spaties in het adres gezet die weer moet verwijderen.
https://www.dnssec.nl/
In het nieuws gedeelte wordt ook Valibox genoemd, die het mogelijk maak om routers die OpenWRT gebruiken te voorzien van DNSSEC verificatie en notificatie.
Sinds een paar maanden is er een stroomversnelling en komen er steeds meer oplossingen beschikbaar om het weer een beetje veiliger te maken op het internet.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.
Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.
DNSSEC biedt veel meer dan alleen het voorkomen dat een nameserver valse informatie krijgt. Het zorgt er ook voor dat je buiten CA's om certificaten kunt authenticeren. Ook als er CA's zijn die certificaten uitgeven aan criminelen. Daarnaast biedt het de mogelijkheid voor M2M communicatie waarbij de machines elkaars certificaat kunnen controleren.
Fouten kunnen overal in de configuratie gemaakt worden. Dan hoeft niet alleen in de nameserver te zijn.
Peter
Er is al twee keer gezegd dat het bijzondere hier DNSSec validatie door een grote access provider is.
TransIP is een hoster - je bedoelt vast dat ze DNSSec signing doen op hun zones - wist je dat dat verschillende dingen zijn ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.