DNSSEC via DNS-server van XS4ALL

Eerst maar het slechte nieuws: iedere keer dat u een website bezoekt, maakt u gebruik van ’n goedgelovig systeem dat gemakkelijk te hacken is. Het goede nieuws: binnenkort is dit verleden tijd. Bij XS4ALL gebruiken we namelijk als eerste landelijke provider ‘DNSSEC’. Dat betekent dat onze klanten weer een beetje veiliger kunnen surfen. We hopen dat andere partijen snel volgen.

We horen u al denken: DNSSEC? We leggen het uit.

Online telefoonboek

Computers kunnen maar één ding, en dat is rekenen. Ze denken en communiceren in getallen. Dat is ook het geval als u een website bezoekt. Gaat u bijvoorbeeld naar xs4all.nl, dan wordt dit ‘onder de motorkap’ vertaald naar een adres dat bestaat uit cijfers. U ziet in uw adresbalk weliswaar https://www.xs4all.nl staan, maar uw computer ziet een reeks getallen, oftewel een ‘IP-adres’. Het systeem dat de naam en de daarbij behorende getallen aan elkaar koppelt, heet het Domain Name System (DNS). Dit systeem maakt gebruik van een soort online telefoonboek waarin staat welke naam precies bij welk IP-adres hoort.

Te grazen genomen

Het probleem is dat DNS “goedgelovig” is. Malafide hackers weten het DNS dikwijls om de tuin te leiden en een andere naam aan een IP-adres te koppelen. Argeloze internetters worden dan omgeleid naar een namaakwebsite, alwaar ze door de hackers te grazen worden genomen. Terwijl er in de adresbalk staat dat ze gewoon op de website van hun keuze zitten. Zelfs het slotje is aanwezig! Alsof de bank die u binnenloopt eigenlijk een nepbank is, gerund door acteurs die achter uw creditcardgegevens aanzitten.

Echtheidskeurmerk

Tamelijk vervelend dus. Daarom is ‘DNSSEC’ ontwikkeld. Een uitbreiding op het oude, onveilige telefoonboek voor computers. Alle adressen die hierin staan hebben een ‘echtheidskeurmerk’, waardoor hackers DNSSEC onmogelijk voor de gek kunnen houden. Met DNSSEC weet u zeker dat de website die u bezoekt ook daadwerkelijk de website is die u wilt bezoeken.

Probleem opgelost?

Probleem opgelost, zou je zeggen. Maar zo simpel is het helaas ook weer niet. Want niet alle websites zijn al opgenomen in de DNSSEC-lijst. Zelfs sites die eigenlijk heel veilig zouden moeten zijn (zoals die van banken) doen lang niet altijd mee  Dat komt doordat het soms veel moeite en geld kost om een domein helemaal compatible te maken met DNSSEC. En omdat DNSSEC pas werkt als zowel de website als de internetprovider het ondersteunt, ontstaat er een kip-en-ei-probleem. Websitebeheerders wachten tot internetproviders DNSSEC ondersteunen, terwijl internetproviders juist wachten tot meer websites het gebruiken. Tja, dan kun je dus lang wachten.

XS4ALL gebruikt DNSSEC

Daarom gebruiken wij als eerste landelijke provider DNSSEC. 45% van de Nederlandse websites heeft al DNSSEC en is door onze klanten per direct veilig te bezoeken. En die overige 55% dan? Daarvan kunnen we de veiligheid helaas nog niet garanderen. Al zullen we het juiste IP-adres van belangrijke of populaire sites handmatig toevoegen aan onze lijst met veilige domeinen. We hopen overigens dat er snel meer websites (en internetproviders) zullen volgen.

Kijk op het Nederlands kennisplatform voor DNSSEC voor meer informatie over DNSSEC.

Test zelf via https://internet.nl/ of de websites die u bezoekt gebruik maken van DNSSEC.

Deel dit:

Reacties

  1. Tommie says:

    Ik heb voor systeembeheer een concrete testcase. http://www.flitsnieuws.nl , een lokale nieuwssite, opent via een KPN aansluiting wel, maar via XS4ALL opent sinds deze week in plaats daarvan de Web Server’s Default Page. Volgens de link internet.nl blijkt dat deze site beschermd is tegen omleiding (DNSSEC). Wat is er aan de hand en waarom zorgt de invoer van DNSSEC er voor dat ik minder pagina’s kan bereiken (user experience!)?

  2. J.D.M. de Kruif-Koch says:

    Ben wel een oude digibeet maar ben gek op supersafe surfen!

  3. HOS says:

    Net de test gedaan via de link op deze site (internet.nl) op domain xs4all.nl. Wat blijkt? TLS niet of onvoldoende beveiligd – de verbinding kan worden afgeluisterd. Nou bedankt XS4ALL……

  4. baknu says:

    Goed gedaan XS4ALL! Volgende stap: DNSSEC-validatie op Fritzbox-modem? Dat heeft als beveiligingsvoordeel dat ook de ‘last mile’ beschermd is. Ik ben benieuwd!
    Ter inspiratie: https://www.sidnlabs.nl/a/weblog/valibox-dnssec-validatie-thuis

  5. Jan says:

    Ik heb op internet.nl “Test mijn internetverbinding” aangeklikt, met dit resultaat:
    Niet beschermd tegen omleiding naar valse IP-addressen (DNSSEC)

    Helaas; je maakt geen gebruik van DNSSEC.Je bent nu niet beschermd tegen omleiding naar valse IP-adressen. Vraag je internet-provider of netwerkbeheerder om DNSSEC-validatie aan te zetten of de problemen in de configuratie op te lossen. Meer ervaren internetgebruikers kunnen DNSSEC ook op hun eigen systemen installeren.
    DNSSEC-handtekeningen worden niet gevalideerd;
    je DNS-dienstverleners: XS4ALL-NL Amsterdam, XS4ALL-NL Amsterdam, XS4ALL-NL Amsterdam, XS4ALL-NL Amsterdam, XS4ALL-NL Amsterdam, PT , XS4ALL-NL Amsterdam, XS4ALL-NL Amsterdam

    Hoe zit dat?

    • baknu says:

      Een van je nameservers (die van “PT”) lijkt niet van XS4ALL. Dat zou de oorzaak kunnen zijn. In je modem kan je de nameservers instellen die je wil gebruiken. Voor de adressen zie: https://www.xs4all.nl/klant/servers.htm

      • Jan says:

        Hmmm…. Ik stel 2 ip4 en 2 ip6 adressen in de fritzbox… Komt ie toch terug met een andere:
        DNS servers used

        213.75.116.129 (currently used for standard queries)
        194.109.6.66
        194.109.9.99
        2001:888:0:6::66
        2001:888:0:9::99
        En ik kan van dat adres alleen terugvinden dat het uit Nederland komt…

      • Jan says:

        Herstart van de box nodig… Nu is het in orde.

  6. Ik heb mijn domeinregistratie via XS4All geregeld, maar mijn website lijkt nog geen DNSSEC ondersteuning te hebben.

    • Niels Huijbregts Niels Huijbregts says:

      Klopt. We hebben DNSSEC nu geactiveerd op onze resolvers. Het activeren van DNSSEC voor alle domeinen op ons hostingplatform is een volgend project.

      • Hallo Niels,

        In mijn log (messages) zie ik de volgende regel:
        Nov 16 20:35:54 metanoia named[4725]: validating ./NS: got insecure response; parent indicates it should be secure
        Op internet zegt men dat dan een van de DNS servers (xs4all) geen DNSSEC ondersteunt.
        Inderdaad is dat het geval bij 2001:888:0:9::99 (ipv6).
        Klopt het dat DNSSEC van XS4ALL alleen ipv4 betreft?

    • Robbie says:

      Ik heb mijn domeinregistratie ook via XS4All geregeld, en ik heb de DNS-editor aanstaan (experimentele diensten), maar of ik dan dnssec kan configureren zou ik ook wel eens willen weten!

  7. Peter says:

    Hoe definieer je “eerste”? Ik ken minstens 1 (landelijke) provider die het al jaren operationeel heeft.

    • Niels Huijbregts Niels Huijbregts says:

      Hmja, is maar hoe je het bekijkt. We zijn de eerste provider die landelijk bekend is, die DNSSEC implementeert. Maar goed, wie het eerst is, is niet de belangrijkste boodschap hier. We zetten in één klap DNSSEC aan voor honderdduizenden internetgebruikers. Dat is goed nieuws.

      • Oierre Melser says:

        Dit is wat ik krijg van internet.nl:
        Helaas; je internet-provider heeft je geen modern IPv6-adres gegeven of niet alles correct ingesteld. Daardoor kun je niet alle computers die op Internet zijn aangesloten bereiken. Vraag je internet-provider of netwerkbeheerder om IPv6 aan te zetten of de problemen in de configuratie op te lossen.
        de resolver kan geen name-servers bereiken via IPv6
        het opzetten van een IPv6-verbinding (via DNS) is gelukt
        het opzetten van een IPv6-verbinding (direct naar een adres) is gelukt;
        je IP-adres is: xxxxxxxxxxxx
        je “reverse domeinnaam” is: waarde niet beschikbaar
        je internet-provider is: XS4ALL-NL Amsterdam
        de IPv6 “privacy extensions” staan aan (of je gebruikt geen SLAAC)
        het opzetten van een IPv4-verbinding (via DNS) is gelukt;
        je IP-adres is:xxxxxxxxxxx
        je “reverse domeinnaam” is: xxxxxxxxxx
        je internet-provider is: XS4ALL-NL Amsterdam
        _______________________________

        De xxx jee zijn van mij. Bovendien vermeldt de site dat er geen DNSSEC werkzaam is.

    • André J says:

      Xs4all heeft het ook al jaren…
      En het is een probleem om een naam te noemen?