BIT heeft nu ook reverse DNS-zones met DNSSEC ondertekend

BIT heeft nu ook reverse DNS-zones met DNSSEC ondertekend

19-08-2018 09:22:08

reverse-dnssec-toepassen.jpg
Internet werkt met domeinnamen en IP-adressen. Bij een domeinnaam hoort een IP-adres en die koppeling is bij BIT al een aantal jaar beschermd door de implementatie van DNSSEC-handtekeningen op het DNS-verkeer.

DNSSEC

Klanten die dat willen kunnen DNSSEC in de BIT-Portal laten inschakelen voor hun domeinnamen. Hiermee wordt simpel gezegd, gezorgd dat antwoorden van het DNS niet 'onderweg' kunnen worden aangepast, waarmee er meer zekerheid ontstaat dat als je https://example.nl bezoekt, je ook echt naar de servers van example.nl wordt verwezen.

Reverse DNSSEC

Sinds begin augustus heeft BIT ook al zijn "reverse DNS-zones" met DNSSEC ondertekend. Zowel voor IPv4 als voor IPv6-adressen! Want bij domeinnamen hoort een IP-adres, maar andersom zou je ook (grofweg) kunnen stellen dat IP-adressen altijd aan een naam gekoppeld zijn. Dit heet de 'reverse' van een IP-adres en staat net als voor domeinnamen ook in het DNS. Sinds augustus heeft BIT ook deze 'reverse DNS' met DNSSEC beveiligd!

Waarom nu pas? Terwijl we al jaren 'forward' DNSSEC implementeren? De stap van IP naar domeinnaam is veel minder belangrijk voor de veilige werking van internet dan de stap van domeinnaam naar IP. De kans is zeer gering dat iemand narigheid kan uithalen door de naam die bij een IP-adres hoort 'te wijzigen' in iets wat niet correct is. Het grootste risico zit in het kunnen 'wijzigen' van het IP-adres dat bij een domeinnaam hoort om zo internetverkeer naar een onjuiste site te leiden. We hebben deze DNSSEC-bescherming dan ook eigenlijk meer geactiveerd 'omdat het nou eenmaal kan' en we dingen graag goed doen.

Heb jij in samenspraak met BIT de reverses voor IP-adressen gedelegeerd gekregen en de signing daarvan zelf geregeld? Geef ons dan een seintje zodat we de delegatie naar jou toe dan ook veilig kunnen maken!


Door: Sander Smeenk