Het internet functioneert bij gratie van standaarden

Content

""

Stichting Internet Domeinregistratie Nederland, het bedrijf achter het .nl-domein, wil dat bedrijven en overheden gebruik gaan maken van de veiligheidsstandaard DNSSEC. Die maakt het gebruik van het internet veiliger en betrouwbaarder. De standaard is al enkele jaren beschikbaar, maar nog niet volledig geadopteerd. Hetzelfde geldt voor de standaard IPv6, die meer unieke IP-adressen mogelijk maakt. Maar ook hier blijft adoptie achter.

Zonder standaarden geen internet

“Het internet functioneert bij gratie van standaarden. Zonder standaarden is er immers geen gemeenschappelijke taal waarmee partijen op het wereldwijde web elkaar kunnen vinden en met elkaar kunnen communiceren”, aldus Marco Davids, research engineer bij SIDN Labs, onderdeel van Stichting Internet Domeinregistratie Nederland (SIDN). SIDN zelf werkt met het Domain Name System (DNS), dat de vertaling van domeinnamen naar IP-adressen en andersom verzorgt. Davids werkt aan onderzoek en innovatie op het gebied van DNS-stabiliteit en -veiligheid en aan DNS-data-analyse en privacybeheer.

Digitaal veiliger door DNSSEC

Sinds 2012 kunnen alle .nl-domeinnamen worden voorzien van DNS Security Extensions, kortweg DNSSEC. Dit is een beveiligingsstandaard die aan de hand van versleuteling een extra beschermingslaag toevoegt aan het bestaande DNS-protocol”, legt Davids uit. “Die extra bescherming is nodig, omdat internet steeds meer wordt gebruikt om gevoelige informatie op te slaan en financiële transacties uit te voeren.

Wie doen er tegenwoordig allemaal niet aan internetbankieren? En het betalen via internet aan webshops is eveneens gemeengoed aan het worden. Maar het traditionele DNS – zonder DNSSEC – is kwetsbaar voor de steeds slimmer wordende internetcriminelen.”

Dat bleek in 2008 nog eens duidelijk nadat Dan Kaminsky, een Amerikaanse hacker en computerconsultant, het lek in DNS aan het licht bracht. Davids: “Internetcriminelen kunnen de DNS-informatie op de nameserver onderweg veranderen en zodoende de internetgebruiker naar een valse webserver sturen, terwijl de gebruiker wel de juiste domeinnaam heeft ingetikt. Dan is het vrij eenvoudig om bijvoorbeeld vertrouwelijke gegevens te stelen.

Door gebruik te maken van de internationale DNSSEC-standaard kan dit probleem worden voorkomen. Daarmee wordt internet voor alle gebruikers ervan veiliger. DNSSEC maakt bovendien aanvullende beveiligingen mogelijk. De DANE-standaard, die voortbouwt op DNSSEC, is hiervan een voorbeeld. Deze standaard maakt het mogelijk om de certificaten die nodig zijn voor beveiligde verbindingen, zoals HTTPS op een website of STARTTLS bij e-mail, nog beter op echtheid te controleren.”

Meer gebruik van maken

Alle registrars (bedrijven die online adressen vastleggen en daartoe rechtstreeks toegang hebben tot het registratiesysteem van SIDN) plus de internetserviceproviders kunnen deze extra bescherming nu aanbieden aan hun klanten. Davids: “Lang niet alle partijen hebben dit al gedaan. Het aanbieden van een standaard – hoe goed en veilig deze ook is – is het begin, adoptie ervan is vaak een heel andere uitdaging.

Nog lang niet alle.nl-domeinnamen zijn beveiligd met DNSSEC.” Om registrars en internetserviceproviders over te halen mee te doen, biedt SIDN partijen die hun klanten DNSSEC aanbieden, een incentive in de vorm van een korting aan. Davids: “De kortingsactie werkt. Financiële prikkels helpen om sommigen over de streep te trekken. Voor andere partijen werkt het beter om precies uit te leggen wat DNSSEC is en om de voordelen ervan te belichten.”

Enkele partijen blijven terughoudend. Davids: “SNS Bank werkt inmiddels met DNSSEC, maar veel banken zijn aanvankelijk terughoudend om met de nieuwe standaard te werken. We vinden het belangrijk dat juist financiële instellingen gaan werken met DNSSEC, omdat op hun sites financiële transacties plaatsvinden.” Informeren, lobbyen en het onderwerp steeds weer op de agenda zetten. Dat zijn de middelen die SIDN aangrijpt om banken en andere maatschappelijk relevante partijen – denk aan nieuwssites of weersites – zover te krijgen om over te stappen. Bovendien is DNSSEC tweerichtingsverkeer.

Davids: “De ontvangende partij moet de ‘handtekening’ ook controleren. Anders werkt de beveiliging niet. Sommige internetproviders, zoals XS4ALL, doen dit al. Maar nog niet alle.”

Bij de adoptie van IPv6 stond Nederland eind 2017 met 10 procent wereldwijd op de 24e plaats.

""

Internet laten groeien

Ondanks het feit dat nog lang niet alle partijen zijn overgestapt naar DNSSEC, doet Nederland het internationaal gezien niet slecht met de adoptie van deze standaard. Heel anders is dat voor een andere internationale standaard waarvan SIDN hoopt dat deze snel door alle aan internet gekoppelde partijen wordt geadopteerd: IPv6. Davids legt uit. “Ieder apparaat dat met internet is verbonden, heeft een uniek numeriek IP-adres (Internet Protocol-adres, red.).

De huidige IP-standaard, die al dateert van 1981, is de IPv4-standaard. Deze kent een adresruimte van 32 bits. Dat betekent dat er zo’n vier miljard unieke IP-adressen kunnen worden uitgegeven. Dat lijkt heel veel, maar als je bedenkt dat de ruim zeven miljard mensen op aarde over niet al te lange tijd nagenoeg allemaal een verbinding willen met internet, dan is duidelijk dat deze IPv4-standaard niet langer voldoet. Hiervoor in de plaats komt nu IPv6. Deze standaard dateert al uit 1998, maar is momenteel erg actueel en aan een enorme opmars bezig.

Het aantal servers en eindgebruikers groeit al jaren bijna exponentieel. IPv6 kent namelijk een adresruimte van 128 bits, waardoor veel en veel meer unieke IP-adressen beschikbaar zijn. Het is de hoogste tijd om over te stappen. IPv6 is nu eenmaal nodig om internet te laten groeien.”

Nederland blijft achter

Grote partijen, zoals Google en Facebook, hebben al gekozen voor de nieuwe standaard. Zij zijn inmiddels volledig bereikbaar over IPv6. Veel landen – waaronder België, Amerika, India, Griekenland en Duitsland – zijn die overstap ook al goed aan het maken. Nederland blijft achter en stond eind 2017 met een adoptiepercentage van ruim 10 procent op de 24e plaats van het totale aantal landen. Dat blijkt uit cijfers van APNIC, de non-profitorganisatie die onder meer IP-adressen distribueert en beheert in de Aziatisch-Pacifische regio.

Met de DNSSEC-standaard wordt internet voor alle gebruikers veiliger.

Davids: “Een knelpunt is dat IPv6 niet compatibel is met IPv4. Dit betekent dat een computer met een IPv4-adres niet kan communiceren met een computer die alleen een IPv6-adres heeft. De nieuwe standaard sluit daarmee niet aan op de oude, wat adoptie ervan bemoeilijkt. Een overstap naar IPv6 kan daardoor een kostbare exercitie zijn, omdat kennis moet worden vervangen en de systemen voor langere tijd naast elkaar moeten draaien. Laat dit een les zijn voor de toekomst van nieuwe standaarden voor het internet. We moeten ervoor zorgen dat nieuwe standaarden als het ware voortborduren op de oude, ofwel backward compatible zijn, zodat adoptie vloeiender kan plaatsvinden en daardoor minder tijd en geld kost.” De Nederlandse overheid heeft het belang van IPv6 inmiddels in het vizier. IPv6 staat al een tijdje – net als DNSSEC en DANE – op de ‘pas toe of leg uit-lijst’ van verplichte standaarden voor de overheid. Daardoor is een site als DigiD bijvoorbeeld al enige tijd via IPv6 bereikbaar. Maar veel gemeenten zijn nog niet zo ver. Wel laten steeds meer grote bedrijven weten dat ze de nieuwe standaard omarmen. Ook de eerste banken hebben de standaard geadopteerd. De Rabobank is hier een voorbeeld van. Verder hebben  IT-bedrijven als Ziggo, KPN, XS4ALL, Vodafone, Tele2, T-Mobile, Netflix en LinkedIn hun diensten inmiddels via IPv6 ontsloten. Davids: “Dat is goed nieuws, want ook als het gaat om IPV6 is er sprake van tweerichtingsverkeer. Bedrijven moeten hun websites ‘IPv6-proof’ maken, al moeten de serviceproviders er evengoed voor zorgen dat hun klanten ook volgens dit protocol kunnen surfen. Het komt dus op gang, maar we moeten iets meer vaart maken. We willen als land straks niet belemmerd worden door het feit dat er geen IP-adressen meer kunnen worden uitgegeven terwijl veel systemen nog niet klaar zijn voor de adoptie van IPv6. Dat zou de economische groei en verdere innovatie op het internet onnodig in de weg kunnen zitten. Dat moment moeten we voor zijn.”

Dit artikel kwam tot stand met medewerking van Marco Davids, Research engineer SIDN Labs

Met het sluiten van de fysieke bankkantoren en de afname van het aantal pinautomaten is een veilige ‘digitale voordeur’ van banken steeds belangrijker. DNSSEC kan een belangrijke bijdrage leveren aan die veiligheid.

Standaardwerken: het belang van verbinden

Dit is één van de praktijkvoorbeelden uit magazine 'Standaardwerken: het belang van verbinden'. Wilt u een gedrukte versie ontvangen? Neem contact met ons op.

Bekijk meer praktijkvoorbeelden op:

 

Documentatie-type

Gerelateerde standaard(en)