image

SIDN: DNSSEC validatiefouten komen nauwelijks nog voor

dinsdag 27 februari 2018, 14:32 door Redactie, 2 reacties

DNSSEC validatiefouten komen nauwelijks nog voor, concludeert de Stichting Internet Domeinregistratie Nederland (SIDN) na een tweejarige pilot. De stichting begint daarom geen eigen validerende DNS-service.

Van 2015 tot eind vorig jaar heeft SIDN een proef gedaan met een DNSSEC-validerende DNS-service. Dit was bedoeld om het aantal problemen die veroorzaakt werden door validatiefouten bij DNSSEC te verzamelen en access providers te stimuleren om validatie op hun resolvers in te schakelen.

SIDN overwoog bovendien om een eigen DNS-service te starten, als tegenhanger van Google Public DNS. Daar ziet de organisatie nu vanaf.

“De belangrijkste uitkomst van de pilot die tot november 2017 liep, is dat validatiefouten vrijwel niet meer voorkomen”, zegt Sebastaan Assink, key account manager bij SIDN. Over een periode van ongeveer anderhalf jaar zijn op een totaal van 849.182.522 queries 25.160 onbedoelde validatiefouten (verdeeld over 4.778 unieke domeinnamen) gemeten. Daarmee is het aantal fouten in de praktijk verwaarloosbaar geworden. Ook is er in die twee jaar tijd geen enkele support call over websites binnengekomen.

Problemen in 2013

Aanleiding voor de pilot waren in 2013 de vele domeinen waarvan het sleutelmateriaal zoals dat bekend was bij SIDN, niet overeenkwam met de informatie op de DNS-servers. Dat veroorzaakte problemen bij goedwillende access providers want zij ondervonden hiervan hinder.

Hoewel validatiefouten in de praktijk al vanaf 2015 geen probleem meer zijn, gebruikten access providers dit nog wel als argument om validatie op hun resolvers niet in te hoeven schakelen.

Reacties (2)
28-02-2018, 14:11 door Anoniem
Het bovenstaande geldt neem ik aan voor het .nl toplevel domein, terwijl die DNS-service neem ik aan voor alle
domeinen zou werken.
Ik heb vorig jaar zelf een tijdje DNSSEC validatie aangezet op een eigen resolver en dit gaf inderdaad ellende,
voor domeinen buiten .nl. Na een paar keer mailtjes naar de betreffende domeinbeheerders die tot niks leidden
dus maar weer uitgezet.

Is er reden om aan te nemen dat de situatie nu wereldwijd beter is?
28-02-2018, 20:59 door Anoniem
Door Anoniem: Het bovenstaande geldt neem ik aan voor het .nl toplevel domein, terwijl die DNS-service neem ik aan voor alle
domeinen zou werken.
Ik heb vorig jaar zelf een tijdje DNSSEC validatie aangezet op een eigen resolver en dit gaf inderdaad ellende,
voor domeinen buiten .nl. Na een paar keer mailtjes naar de betreffende domeinbeheerders die tot niks leidden
dus maar weer uitgezet.

Is er reden om aan te nemen dat de situatie nu wereldwijd beter is?

In het artikel wordt een pilot project genoemd van een validerende resolver met wat statistieken .

Iets uitgebreider vind je dit verhaal op https://www.dnssec.nl/nieuws/algemeen/sidn-sluit-pilot-dnssec-validerende-dns-service-succesvol-af.html .

Het samplebestand bestond blijkbaar uit een haagse school (HML) met ca 1000 leerlingen, en later klanten van Openfiber. (hoeveel ?)
Hun gebruiksprofiel zou dan 850M queries opleveren over 1.5 jaar , met validatie fouten op ca 4800 domeinen.

Het kan natuurlijk dat zo'n schoolpopulatie een nogal homogeen internet gebruik heeft - en dus de foutkans onderschat tov van een wat meer divers internet gebruik.

Aan de andere kant, xs4all heeft iets van 300K klanten en doet ook validatie. Ik kan helaas geen stats van xs4all (of Edutel) van hun aantallen validatie fouten , en spreiding ervan over TLDs .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.