DNSSEC validatiefouten komen nauwelijks nog voor, concludeert de Stichting Internet Domeinregistratie Nederland (SIDN) na een tweejarige pilot. De stichting begint daarom geen eigen validerende DNS-service.
Van 2015 tot eind vorig jaar heeft SIDN een proef gedaan met een DNSSEC-validerende DNS-service. Dit was bedoeld om het aantal problemen die veroorzaakt werden door validatiefouten bij DNSSEC te verzamelen en access providers te stimuleren om validatie op hun resolvers in te schakelen.
SIDN overwoog bovendien om een eigen DNS-service te starten, als tegenhanger van Google Public DNS. Daar ziet de organisatie nu vanaf.
“De belangrijkste uitkomst van de pilot die tot november 2017 liep, is dat validatiefouten vrijwel niet meer voorkomen”, zegt Sebastaan Assink, key account manager bij SIDN. Over een periode van ongeveer anderhalf jaar zijn op een totaal van 849.182.522 queries 25.160 onbedoelde validatiefouten (verdeeld over 4.778 unieke domeinnamen) gemeten. Daarmee is het aantal fouten in de praktijk verwaarloosbaar geworden. Ook is er in die twee jaar tijd geen enkele support call over websites binnengekomen.
Aanleiding voor de pilot waren in 2013 de vele domeinen waarvan het sleutelmateriaal zoals dat bekend was bij SIDN, niet overeenkwam met de informatie op de DNS-servers. Dat veroorzaakte problemen bij goedwillende access providers want zij ondervonden hiervan hinder.
Hoewel validatiefouten in de praktijk al vanaf 2015 geen probleem meer zijn, gebruikten access providers dit nog wel als argument om validatie op hun resolvers niet in te hoeven schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.