- 21-02-25We hebben de DNSSEC slotcylinders geüpgrade en nieuwe sleutels uitgedeeld…
- 14-10-24Digitale soevereiniteit: wat betekent het voor jou en je bedrijf?
- 15-07-24Vrijheid van meningsuiting versus censuur
- 08-07-24Statistieken in de BIT Portal
- 18-06-24Waarom iedere website een security.txt nodig heeft
- 11-06-24Black Building Test bij BIT
- 13-05-24Certificaatvrijheid met Let’s Encrypt
- 08-04-24Echte mensen, echte service: bereikbaarheid bij BIT
- 28-02-24De sleutel voor RocksDB performance
- 14-02-24Timeseries data bij BIT
Blogs
We hebben de DNSSEC slotcylinders geüpgrade en nieuwe sleutels uitgedeeld…
21-02-2025 08:22:01
… en niemand heeft er wat van gemerkt!
Ongemerkt hebben we de afgelopen weken de digitale sleutels die worden gebruikt voor het functioneren van DNSSEC binnen onze authoritatieve nameservers vervangen door kleinere, maar tegelijk ook betere versies.
Heb je een domeinnaam en regelt BIT de DNS voor je? Dan is de kans aanzienlijk dat BIT voor jou ook DNSSEC geregeld heeft en dat jouw domein in DNS nu dus ook een glimmende nieuwe sleutel heeft.
Even een opfrisser
DNSSEC zorgt met digitale handtekeningen voor cryptografisch bewijs dat het antwoord dat een nameserver je gegeven heeft onderweg niet is aangepast en je er dus van uit mag gaan dat als de handtekening valideert, het antwoord juist is.
DNSSEC gaat over de authenticiteit van het DNS-verkeer maar niet over de vertrouwelijkheid en zorgt dus niet voor versleuteling van DNS-verzoeken, dat is weer een heel andere tak van sport.
Hoe het begon
De adoptie van DNSSEC kent een lange trage weg, want de standaard bestaat al sinds 2005. Maar pas vier jaar later begon het voorzichtig nuttig te worden om zogenoemde 'validating resolvers' in te zetten omdat er binnen het .com-top level domein een aantal durfal's hun DNS-zones digitaal hadden ondertekend.
Samen met, toen nog, XS4ALL was BIT een van de eerste providers die eind 2009 validatie van DNS-antwoorden afdwong voor de gebruikers van onze DNS-resolvers.
Het werd pas drie jaar dáárna, in 2012, mogelijk om .nl-domeinen van DNSSEC beveiliging te voorzien. BIT is daar boven op gesprongen en richting het eind van dat jaar hadden wij alle domeinen waar wij verantwoordelijk voor zijn voorzien van DNSSEC.
In de jaren daarna is DNSSEC langzaam maar zeker steeds beter op de radar gekomen. Nu staat het op Pas-Toe-Of-Leg-Uit-lijsten en komt het naar voren in diverse audits van informatiesystemen.
Hoe zit dat met die sleutels dan?
Cryptografie, digitale handtekeningen, misschien komt het je bekend voor uit de HTTPS / TLS hoek: het werkt allemaal in een 'Public Key Infrastructure', vaak afgekort tot PKI.
Om een digitale handtekening te maken of gegevens digitaal te versleutelen is een digitaal sleutelpaar nodig. Feitelijk is het één sleutel, maar die bestaat uit een publiek deel en een privaat deel.
Het private deel maakt een digitale handtekening, en het publieke deel "past op" en valideert die handtekening.
Toen de wereld hiermee begon leek de "RSA"-technologie nog de beste keuze voor de digitale sleutels. Met een "bit size" van 1024 of misschien wel 2048 bits! Dat leek voor de toekomst toch echt veilig genoeg...
Maar computers worden met de dag sneller, computerclusters met de dag groter en al gauw blijken nieuwe technologiëen met minder rekenkracht voor betere beveiliging te zorgen.
We zijn daarom van de RSA-sleutels met 2048 bits overgestapt op ECDSA-sleutels met 256 bits, 1792 minder bits dus. De digitale handtekeningen zijn ook aanzienlijk kleiner, wat zorgt voor een optimaler gebruik van het DNS.
Ondanks het kleinere aantal bits en de kleinere digitale handtekeningen zou een aanvaller toch om en nabij de 2^256 pogingen nodig hebben om het private deel van de sleutel te vinden.
Dat zijn
59285549689505892056868344324448208820874232148807968788202283012051522375647232
pogingen.
Voor de komenden paar jaar is dat weer even afdoende verwachten we.
En met deze 'algoritme rollover' van RSA naar ECDSA hebben we ervaring op gedaan voor de volgende stap.
Kom maar op, quantum encryptie!
Door: Sander Smeenk