SIDN: DNSSEC validatiefouten komen nauwelijks nog voor
DNSSEC validatiefouten komen nauwelijks nog voor, concludeert de Stichting Internet Domeinregistratie Nederland (SIDN) na een tweejarige pilot. De stichting begint daarom geen eigen validerende DNS-service.
Van 2015 tot eind vorig jaar heeft SIDN een proef gedaan met een DNSSEC-validerende DNS-service. Dit was bedoeld om het aantal problemen die veroorzaakt werden door validatiefouten bij DNSSEC te verzamelen en access providers te stimuleren om validatie op hun resolvers in te schakelen.
SIDN overwoog bovendien om een eigen DNS-service te starten, als tegenhanger van Google Public DNS. Daar ziet de organisatie nu vanaf.
“De belangrijkste uitkomst van de pilot die tot november 2017 liep, is dat validatiefouten vrijwel niet meer voorkomen”, zegt Sebastaan Assink, key account manager bij SIDN. Over een periode van ongeveer anderhalf jaar zijn op een totaal van 849.182.522 queries 25.160 onbedoelde validatiefouten (verdeeld over 4.778 unieke domeinnamen) gemeten. Daarmee is het aantal fouten in de praktijk verwaarloosbaar geworden. Ook is er in die twee jaar tijd geen enkele support call over websites binnengekomen.
Problemen in 2013
Aanleiding voor de pilot waren in 2013 de vele domeinen waarvan het sleutelmateriaal zoals dat bekend was bij SIDN, niet overeenkwam met de informatie op de DNS-servers. Dat veroorzaakte problemen bij goedwillende access providers want zij ondervonden hiervan hinder.
Hoewel validatiefouten in de praktijk al vanaf 2015 geen probleem meer zijn, gebruikten access providers dit nog wel als argument om validatie op hun resolvers niet in te hoeven schakelen.
domeinen zou werken.
Ik heb vorig jaar zelf een tijdje DNSSEC validatie aangezet op een eigen resolver en dit gaf inderdaad ellende,
voor domeinen buiten .nl. Na een paar keer mailtjes naar de betreffende domeinbeheerders die tot niks leidden
dus maar weer uitgezet.
Is er reden om aan te nemen dat de situatie nu wereldwijd beter is?
domeinen zou werken.
Ik heb vorig jaar zelf een tijdje DNSSEC validatie aangezet op een eigen resolver en dit gaf inderdaad ellende,
voor domeinen buiten .nl. Na een paar keer mailtjes naar de betreffende domeinbeheerders die tot niks leidden
dus maar weer uitgezet.
Is er reden om aan te nemen dat de situatie nu wereldwijd beter is?
In het artikel wordt een pilot project genoemd van een validerende resolver met wat statistieken .
Iets uitgebreider vind je dit verhaal op https://www.dnssec.nl/nieuws/algemeen/sidn-sluit-pilot-dnssec-validerende-dns-service-succesvol-af.html .
Het samplebestand bestond blijkbaar uit een haagse school (HML) met ca 1000 leerlingen, en later klanten van Openfiber. (hoeveel ?)
Hun gebruiksprofiel zou dan 850M queries opleveren over 1.5 jaar , met validatie fouten op ca 4800 domeinen.
Het kan natuurlijk dat zo'n schoolpopulatie een nogal homogeen internet gebruik heeft - en dus de foutkans onderschat tov van een wat meer divers internet gebruik.
Aan de andere kant, xs4all heeft iets van 300K klanten en doet ook validatie. Ik kan helaas geen stats van xs4all (of Edutel) van hun aantallen validatie fouten , en spreiding ervan over TLDs .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
