image

XS4ALL eerste landelijke provider die DNSSEC activeert

maandag 14 november 2016, 11:09 door Redactie, 24 reacties

XS4ALL is de eerste landelijke internetprovider die DNSSEC heeft geactiveerd, om zo om klanten beter tegen frauduleuze websites te beschermen. Dat heeft het bedrijf vandaag bekendgemaakt. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.

"Het probleem is dat DNS “goedgelovig” is. Malafide hackers weten het DNS dikwijls om de tuin te leiden en een andere naam aan een IP-adres te koppelen. Argeloze internetters worden dan omgeleid naar een namaakwebsite, alwaar ze door de hackers te grazen worden genomen", aldus XS4ALL. Als oplossing is DNSSEC ontwikkeld. Dit is een extensie van DNS die moet voorkomen dat internetgebruikers naar malafide websites worden doorgestuurd.

Een bekende DNS-aanval is 'DNS cache poisoning'. Hierbij wordt geprobeerd de cache van de DNS-aanbieder te vervuilen, zodat die een ander ip-adres aan gebruikers teruggeeft, die dan bijvoorbeeld worden doorgestuurd naar een website van de aanvaller. Om dit soort aanvallen tegen te gaan moet de authenticiteit van een DNS-respons worden gecontroleerd. DNSSEC lost dit probleem op door DNS-responses via digitale handtekeningen en 'public key cryptography' te authenticeren."Met DNSSEC weet u zeker dat de website die u bezoekt ook daadwerkelijk de website is die u wilt bezoeken", stelt XS4ALL.

Volgens de provider is het probleem hier niet mee opgelost. Niet alle websites zijn namelijk opgenomen in de DNSSEC-lijst. Zelfs websites die eigenlijk heel veilig zouden moeten zijn, zoals die van banken, doen lang niet altijd mee "Dat komt doordat het soms veel moeite en geld kost om een domein helemaal compatible te maken met DNSSEC. En omdat DNSSEC pas werkt als zowel de website als de internetprovider het ondersteunt, ontstaat er een kip-en-ei-probleem. Websitebeheerders wachten tot internetproviders DNSSEC ondersteunen, terwijl internetproviders juist wachten tot meer websites het gebruiken. Tja, dan kun je dus lang wachten", laat XS4ALL weten.

De provider heeft er daarom voor gekozen met DNSSEC te beginnen. 45% van de Nederlandse websites heeft al DNSSEC en is door XS4ALL-klanten per direct veilig te bezoeken. Van de overige 55% zegt de provider de veiligheid helaas nog niet te kunnen garanderen. "Al zullen we het juiste ip-adres van belangrijke of populaire sites handmatig toevoegen aan onze lijst met veilige domeinen. We hopen overigens dat er snel meer websites en internetproviders zullen volgen."

Reacties (24)
14-11-2016, 11:32 door Anoniem
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.

Peter
14-11-2016, 11:36 door Anoniem
Toch wel treurig dat sommige banken hier (nog?) niet aan meedoen.

Even een korte test bij 2 banken:

ING: Niet beveiligd via DNSSEC

SNS: Wél beveiligd via DNSSEC

Dat een 'gewone' site daar geen geld en tijd aan besteedt kan ik me nog iets bij voorstellen, maar banken zouden toch echt op de voorste rij moeten zitten om hieraan mee te doen...

Trouwens een uitstekend initiatief van XS4ALL!
14-11-2016, 11:49 door Anoniem
Door Anoniem: Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.

Peter
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
14-11-2016, 12:34 door Anoniem
Het heeft toch wel even wat tijd in beslag genomen om de tweede DNS server (cluster) ook met DNSSEC te laten draaien bij Xs4all en Mike en zijn collega's heeft het toch voor elkaar gekregen.

Zelf al een hele tijd DNSSEC en TLSA met mijn sites, ook al zitten die niet bij Xs4all. Voor de Website boeren is het aantrekkelijk gemaakt, door het SIDN, om DNSSEC te implementeren, door een korting tegen op domeinen met DNSSEC.

SIDN promoot zelf KNOT als DNS platform samen met CZNIC en ik hoopte dat Xs4all had gekozen voor deze oplossing naast de eerste DNSSEC server van hun.

Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan. De plug-ins van wederom CZNIC zijn niet meer helemaal compatibel met de huidige browser generatie en hier zijn wij in de tijd, op achteruit gegaan.

Ik ben zelf klant bij Xs4all zoals op te maken uit mijn tekst en ben ook gecharmeerd van de jongen en meiden in Tsjechië hier doen.
14-11-2016, 12:42 door Spiff has left the building
Door Anoniem (Peter), 11:32 uur:
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Door Anoniem, 11:49 uur:
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
Natuurlijk is het mooi dat XS4ALL DNSSEC in gebruik neemt, maar dat neemt niet weg dat het een beetje vieze smaak geeft als een bedrijf ten onrechte pocht dat ze ergens de eerste mee zijn. Ik vind dat wel degelijk relevant.
14-11-2016, 13:00 door Anoniem
Door Spiff:
Door Anoniem (Peter), 11:32 uur:
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Door Anoniem, 11:49 uur:
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
Natuurlijk is het mooi dat XS4ALL DNSSEC in gebruik neemt, maar dat neemt niet weg dat het een beetje vieze smaak geeft als een bedrijf ten onrechte pocht dat ze ergens de eerste mee zijn. Ik vind dat wel degelijk relevant.
Nee, DNSSEC is relevant, gepoch is niet relevant.
14-11-2016, 13:10 door Anoniem
T-mobile is zeker geen internet provider? Die hebben al minimaal 4 jaar dns sec geïmplementeerd. Ik neem aan dat hun 'online' dienst dit ook heeft maar dat kan ik nu niet controleren.
14-11-2016, 13:23 door [Account Verwijderd]
[Verwijderd]
14-11-2016, 13:31 door Anoniem
Door Anoniem:
Door Spiff:
Door Anoniem (Peter), 11:32 uur:
Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.
Door Anoniem, 11:49 uur:
Is dat nu relevant? Laten we liever blij zijn dat DNSSEC wordt geactiveerd. Hoe meer hoe beter.
Natuurlijk is het mooi dat XS4ALL DNSSEC in gebruik neemt, maar dat neemt niet weg dat het een beetje vieze smaak geeft als een bedrijf ten onrechte pocht dat ze ergens de eerste mee zijn. Ik vind dat wel degelijk relevant.
Nee, DNSSEC is relevant, gepoch is niet relevant.

DNSSEC is voor mij al lang niet meer relevant. Dat is iets van jaren geleden. Al mijn nameservers ondersteunen al jaren DNSSEC met DANE. Gepoch wordt dan weer gewoon relevant. Vooral omdat ze dat al bijna 25 jaar doen.

Peter
14-11-2016, 13:53 door Anoniem
Ik heb geen zin in DNSSEC.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.

Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.
14-11-2016, 15:38 door Anoniem
Door Anoniem: Ik heb geen zin in DNSSEC.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.

Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.

Idd, helemaal mee eens. Te veel gedoe met een te grote foutgevoeligheid. Dit betreft een vrij omslachtige oplossing voor een probleem wat bij een goede DNS provider niet hoeft op te treden.

Ik heb veel meer behoefte aan DNSCrypt...
14-11-2016, 15:43 door Anoniem
Door Anoniem: Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.

Peter

Zeker z'n een of ander hoby clubje :P
14-11-2016, 16:12 door Anoniem
Door Anoniem: Ik heb geen zin in DNSSEC.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.

Oh, dus uit angst dat je een fout kan maken doen we het maar niet?
Wat betreft tijd, goed onderhoud vergt nou eenmaal tijd. En is niet alleen maar simpel een paar updatejes installeren. Maar ook met je tijd meegaan en bereid zijn om ingewikkelde dingen te implementeren. *zucht*


Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.

Tja, dit maakt jou net zo argeloos als die gene die zijn server naar jouw mening niet goed beveiligd. Jammer dat jij zo weinig om de veiligheid van jouw bezoekers geeft. Daarnaast lijd je door je eigen laksheid ook nog eens imagoschade. Het is dat je je domeinnaam niet bekendgemaakt hebt. Maar dat is misschien maar beter ook. Nu ik een bepaalde indruk heb verkregen over hoe jij over veiligheid denkt bezoek ik liever niet jouw domein / website.
14-11-2016, 16:13 door Anoniem
Door Anoniem: Ik ken minstens een andere provider die DNSSEC al jaren in gebruik heeft. Maar ja, dat was dezelfde provider die ook niet door xs4all werd gezien toen ze beweerden dat zij de eerste provider van Nederland waren.

Peter
Volgens mij gaat het bericht er niet over dat XS4all DNSSEC gebruikt om hun zones te tekenen, maar omdat ze het hebben aangezet in de recursive servers!
Of ze daarmee de eerste zijn weet ik niet.

--
b.
14-11-2016, 16:17 door Briolet - Bijgewerkt: 14-11-2016, 16:18
Door MAC-user: Mij is versteld dat ze het in het buitenland het anders doen.
In Zweden (zo werd mij uitgelegd) is er een overkoepelende DNS-provider …

Dat verklaart waarom Zweden één van de 4 landen in de wereld is die twee jaar geleden boven de 50% gebruik uit kwam. Volgens de kaart onderaan deze pagina: https://dnssec.vs.uni-due.de.

Een grote speler als OpenDNS gebruikt bij mijn weten nog geen DNSSEC.
14-11-2016, 16:34 door Anoniem
Voor iedereen die reageert met *domeinen* die geen DNSSEC doen :

Wat xs4all gedaan heeft is het aanzetten van DNSSEC _validatie_ op alle resolvers die de xs4all klanten gebruiken.

(Het stond al aan op hun tweede resolver, maar nu ook op de primaire ).

Dat betekent dat xs4all klanten nu geen DNS antwoord meer krijgen als DNSEC niet klopt - soms als er een echte hijack gedaan is en vaak als de dns admin van het domein iets stuk gemaakt heeft .

Op een ander netwerk "werkt het dan gewoon" , en als de xs4all klant google of opendns instelt, 'werkt' het domein ook .

Er zal best een tijdje nagedacht zijn over die consequenties - en waarschijnlijk /hopelijk naar statistieken gekeken van niet-validerende domeinen .
14-11-2016, 19:06 door Anoniem
Door Anoniem:
Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan.

Lijkt me logiscg dat je de site dan helemaal niet te zien krijgt?
14-11-2016, 19:17 door Anoniem
Door Anoniem: Toch wel treurig dat sommige banken hier (nog?) niet aan meedoen.

Even een korte test bij 2 banken:

ING: Niet beveiligd via DNSSEC

SNS: Wél beveiligd via DNSSEC

Dat een 'gewone' site daar geen geld en tijd aan besteedt kan ik me nog iets bij voorstellen, maar banken zouden toch echt op de voorste rij moeten zitten om hieraan mee te doen...

Trouwens een uitstekend initiatief van XS4ALL!

Tja. Soms hoor ik mensen vertellen dat ze na een tijdje werken bij ING hun geld er maar weggehaald hebben. Er schijnt nog wat achterstand te zijn in de ICT, omdat het tot 2012 een goed idee leek om de winst op te krikken door op ICT te bezuinigen. Net als bij de Deltawerken moet je dan soms ineens een heel fors inhaalslagje doen op je achterstallige onderhoud om weer op een aanvaardbaar veiligheidsniveau te zitten. Maar ik zie ook hele goede lui bij ING bezig dus ik heb vertrouwen dat het goed komt.
14-11-2016, 22:26 door Anoniem
Bericht gaat inderdaad over DNSSEC-validatie. Naast XS4ALL zijn er in Nederland verschillende andere providers (zoals Edutel) die dat doen. Denk wel dat XS4ALL de grootstse Nederlandse consumenten-ISP tot nu toe is. Voor statistieken over DNSSC-validatie in Nederland en rest van wereld zie: http://stats.labs.apnic.net/dnssec/AS3265?a=3265&c=NL&x=0&s=1&g=0&w=5&x=

Aan validatie heb je niets zonder DNSSEC-ondertekende domeinnamen en vice versa. Volgens SIDN zijn momenteel
2566763 van de 5676125 .nl-domeinnamen (ruim 45%) -waaronder rijksoverheid.nl, snsbanknv.nl, bit.nl, transip.nl en xs4all.nl- ondertekend met DNSSEC.
.
15-11-2016, 00:31 door Anoniem
Door Anoniem:
Door Anoniem:
Helaas ziet men in de browsers nog niet of het getoonde domein ook de echte is dus hier moet nog een inhaalslag worden gedaan.

Lijkt me logiscg dat je de site dan helemaal niet te zien krijgt?

Er zal iets getoond moeten worden want anders gaat de gebruiker zoeken naar wat er misgaat. Nu krijg je inderdaad een lege pagina met de foutmelding dat de site niet gevonden kan worden als DNSSEC door jouw DNS provider wordt ondersteund.

Test het zelf eens met www. dnssec-failed. org of jij anders wat te zien krijgt(let op ik heb twee spaties in het adres gezet die weer moet verwijderen.
15-11-2016, 08:47 door Anoniem
Voor iedereen die meer wil weten over DNSSEC en aanverwante beveiligingsmogelijkheden kan eens de Nederlandse site geheel over DNSSEC bekijken.

https://www.dnssec.nl/

In het nieuws gedeelte wordt ook Valibox genoemd, die het mogelijk maak om routers die OpenWRT gebruiken te voorzien van DNSSEC verificatie en notificatie.

Sinds een paar maanden is er een stroomversnelling en komen er steeds meer oplossingen beschikbaar om het weer een beetje veiliger te maken op het internet.
15-11-2016, 09:14 door Anoniem
TransIP heeft ook al een lange tijd DNSsec, dus leuk voor XS4All, maar een beetje laat dus !
15-11-2016, 10:32 door Anoniem
Door Anoniem: Ik heb geen zin in DNSSEC.
Het duurt weer zoveel tijd voordat het geimplementeerd is, 1 configuratie fout bij jezelf of bij de ontelbare andere schakels en je domein is niet meer bereikbaar.

Dat een DNS server vergiftigd kan worden is niet het probleem van mijn domein, dat is het probleem van die DNS server.
Gaarne DAAR oplossen, niet op mijn servers.

DNSSEC biedt veel meer dan alleen het voorkomen dat een nameserver valse informatie krijgt. Het zorgt er ook voor dat je buiten CA's om certificaten kunt authenticeren. Ook als er CA's zijn die certificaten uitgeven aan criminelen. Daarnaast biedt het de mogelijkheid voor M2M communicatie waarbij de machines elkaars certificaat kunnen controleren.

Fouten kunnen overal in de configuratie gemaakt worden. Dan hoeft niet alleen in de nameserver te zijn.

Peter
15-11-2016, 11:19 door Anoniem
Door Anoniem: TransIP heeft ook al een lange tijd DNSsec, dus leuk voor XS4All, maar een beetje laat dus !

Er is al twee keer gezegd dat het bijzondere hier DNSSec validatie door een grote access provider is.

TransIP is een hoster - je bedoelt vast dat ze DNSSec signing doen op hun zones - wist je dat dat verschillende dingen zijn ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.