DNS Belgium heeft het beveiligingsalgoritme voor de domeinzones .be, .vlaanderen en .brussels aangepast. De organisatie ruilt het RSA/SHA-256-algoritme in voor een modernere en veiligere variant.
Afgelopen maand heeft DNS Belgium het algoritme om records te ondertekenen geüpgraded naar een nieuwe variant. Algoritme 8 (RSA/SHA-256) was vijftien jaar in gebruik. Nu omarmt DNS Belgium Algoritme 13 (ECDSA Curve P-256). Daarmee verwacht de toplevel-domeinbeheerder van België opnieuw minstens vijf jaar in orde te zijn.
Het algoritme in kwestie is verantwoordelijk voor de digitale ondertekening van domeinnamen. Het zorgt ervoor dat wanneer je een website met een .be-, .vlaanderen- of .brussel-extensie bezoekt, je zeker op de juiste plek terecht komt. Zonder veilige ondertekening is het technisch mogelijk om verkeer te onderscheppen, of te manipuleren. Het algoritme maakt deel uit van DNSSEC: de beveiligingslaag van DNS-gegevens.
Kleiner en veiliger
De upgrade gebeurde in fases, waarbij eerst .vlaanderen en .brussels overstapten, gevolgd door de grotere .be-zone.
Met de overstap worden digitale handtekeningen kleiner, waardoor minder dataverkeer nodig is. De keerzijde van die verkleining is dat validatie net iets meer rekencapaciteit vergt. Volgens DNS Belgium is dat geen probleem voor moderne netwerkinfrastructuur. Gebruikers merken niets van de overstap.
lees ook
DNS Belgium wil af van AWS
“De sleutels zijn kleiner, maar geven dezelfde of betere bescherming tegen bruteforceaanvallen,” legt Stijn Niclaes, DNS infrastructure manager bij DNS Belgium, uit. “Vergelijk het met een kleiner cijferslot met meer combinaties.”
Zorgvuldige voorbereiding
Een algoritme-upgrade binnen DNSSEC vraagt een zorgvuldige voorbereiding. In eerste instantie werd de infrastructuur aangepast voor dual signing. Dat betekent dat domeinen tijdelijk met beide algoritmes ondertekend werden. Zo blijven alle systemen correct werken tijdens de overgangsperiode. Pas wanneer het nieuwe algoritme wereldwijd wordt herkend door caches en nameservers, kan het oude veilig worden uitgefaseerd. Het proces heeft enkele weken in beslag genomen.
Volgens DNS Belgium is het belangrijk zo’n overstap tijdig te plannen, ruim voor ondersteuning van een oud algoritme verdwijnt. Ook moet het nieuwe algoritme voldoende ondersteund zijn in de wereldwijde infrastructuur. In Europa zijn al enkele extensies, zoals .nl, eerder overgestapt naar algoritme 13, maar veel andere nog niet.