DNSSEC kunnen we gebruiken om de oorsprong van het IP adres dat we terugkrijgen van bv. www.nucleus.be te valideren. We kunnen daarmee garanderen dat u het correcte IP van de website zelf krijgt, en niet dat van een crimineel die mogelijk met uw verbinding knoeit.

Om dit alles nu mogelijk te maken, wordt elk DNS record digitaal gesigneerd. Elk van deze records kan via een “chain of trust” getraceerd worden tot aan de root zone, om te garanderen dat u het correcte record terug krijgt.

Bij elke query die gelanceerd wordt op een nameserver, komt buiten het opgevraagde Resource Record (de gekende A, CNAME, MX, TXT, … records), ook een RRSIG record als antwoord terug. In dat RRSIG record, zit een digitaal gesigneerde versie van het opgevraagde Resource Record. Vervolgens wordt die digitale handtekening gevalideerd tegen een publieke sleutel die in het DNSKEY record zit. Klopt die controle niet, dan geeft de opgevraagde server een NXDOMAIN (of soms een SERVFAIL) als antwoord terug, in plaats van het verwachte record, en kan het gevraagde record niet omgezet worden naar een IP adres. Op dat moment kan het gevraagde systeem niet bereikt worden.

Het werkt dus gelijkaardig aan de veel gebruikte Public/Private Key cryptografie, maar gaat daarbij nog een stap verder. Om namelijk te valideren dat u van de root servers van DNSBE, algemene beheerder van .BE domeinnamen, wel de correcte nameservers terugkrijgt, worden ook die records gevalideerd en gecontroleerd tegen de “root zone”, oftewel de “dot”: “.”. Door die gehele controle, kan er gegarandeerd worden dat er niemand in dit hele proces met de verbinding knoeit, en gegevens vervalst (de “chain of trust” ).

In de praktijk wil dit echter nog wel zeggen dat de caching of resolving nameservers, zoals bv. die van uw ISP, een controle moeten uitvoeren op al die DNSSEC requests. In de praktijk gebeurt dat momenteel nog niet, omdat niemand DNSSEC implementeert (het kip en ei verhaal: men zal pas valideren als DNSSEC in de praktijk gebruikt wordt, en DNSSEC heeft pas zin als er validatie op gebeurt). Pas eens die controle er komt, en de DNSSEC records effectief gevalideerd worden, zalDNSSEC zijn werkelijke waarde kunnen tonen. In die cirkel spelen wij graag een sturende rol, en proberen we de uitrol en acceptatie van DNSSEC een handje toe te steken, door alvast onze eigen.BE domeinnamen te signeren.

Gerelateerde vragen
DNSSEC records valideren
Kunnen we je nog ergens anders mee helpen?

Bel of mail ons. We helpen je snel met een antwoord.

Contacteer ons