Domain Name System Security Extensions (DNSSEC) is een beveiligingstechnologie die zal helpen om een ​​van de zwakke punten van het internet op te lossen. We hebben geluk dat SOPA niet is geslaagd, omdat SOPA DNSSEC illegaal zou hebben gemaakt.

DNSSEC voegt kritieke beveiliging toe aan een plaats waar internet niet echt beschikbaar is. Het domeinnaamsysteem (DNS) werkt goed, maar er is geen verificatie op enig moment in het proces, waardoor gaten open blijven voor aanvallers.

De huidige stand van zaken

We hebben uitgelegd hoe DNS in het verleden werkt. Kort gezegd: wanneer u verbinding maakt met een domeinnaam zoals 'google.com' of 'howtogeek.com', neemt uw computer contact op met de DNS-server en zoekt het bijbehorende IP-adres voor die domeinnaam op. Uw computer maakt vervolgens verbinding met dat IP-adres.

Belangrijk is dat er geen verificatieproces is betrokken bij een DNS-zoekopdracht. Uw computer vraagt ​​de DNS-server naar het adres dat aan een website is gekoppeld, de DNS-server antwoordt met een IP-adres en uw computer zegt "oké!" En maakt graag verbinding met die website. Uw computer stopt niet om te controleren of dat een geldig antwoord is.

Het is mogelijk voor aanvallers om deze DNS-verzoeken om te leiden of om kwaadwillende DNS-servers in te stellen die zijn ontworpen om slechte antwoorden te retourneren. Als u bijvoorbeeld bent verbonden met een openbaar Wi-Fi-netwerk en verbinding probeert te maken met howtogeek.com, kan een kwaadwillende DNS-server op dat openbare Wi-Fi-netwerk een ander IP-adres volledig retourneren. Het IP-adres kan u naar een phishingwebsite leiden. Uw webbrowser heeft geen echte manier om te controleren of een IP-adres daadwerkelijk is gekoppeld aan howtogeek.com; het hoeft alleen maar te vertrouwen op het antwoord dat het ontvangt van de DNS-server.

HTTPS-codering biedt enige verificatie. Stel dat u bijvoorbeeld probeert verbinding te maken met de website van uw bank en dat u HTTPS en het vergrendelingspictogram in uw adresbalk ziet. U weet dat een certificeringsinstantie heeft geverifieerd dat de website van uw bank is.

Als u de website van uw bank benaderde via een beveiligd toegangspunt en de DNS-server het adres van een bedrieglijke phishing-site retourneerde, zou de phishing-site die HTTPS-codering niet kunnen weergeven. De phishing-site kan er echter voor kiezen om gewoon HTTP te gebruiken in plaats van HTTPS, weddend dat de meeste gebruikers het verschil niet zouden opmerken en toch hun online bankieren-informatie zouden invoeren.

Uw bank kan niet zeggen: "Dit zijn de legitieme IP-adressen voor onze website."

Hoe DNSSEC zal helpen

Een DNS-lookup gebeurt eigenlijk in verschillende fasen. Als uw computer bijvoorbeeld vraagt ​​naar www.howtogeek.com, voert uw computer deze zoekopdracht in verschillende fasen uit:

  • Eerst wordt de "rootzone-map" gevraagd waar deze kan vinden .com.
  • Vervolgens wordt de .com-map opgevraagd waar deze kan worden gevonden howtogeek.com.
  • Vervolgens wordt gevraagd howtogeek.com waar het kan vinden www.howtogeek.com.

DNSSEC omvat "ondertekening van de root." Wanneer uw computer naar de rootzone vraagt ​​waar deze .com kan vinden, kan deze de ondertekeningssleutel van de rootzone controleren en bevestigen dat het de legitieme rootzone met echte informatie is. De root-zone geeft dan informatie over de handtekeningsleutel of .com en de locatie, zodat uw computer contact kan opnemen met de .com-directory en ervoor kan zorgen dat deze legitiem is. De .com-map biedt de handtekeningsleutel en informatie voor howtogeek.com, zodat deze contact kan opnemen met howtogeek.com en kan controleren of u bent verbonden met de echte howtogeek.com, zoals wordt bevestigd door de zones erboven.

Wanneer DNSSEC volledig is uitgerold, is uw computer in staat om te bevestigen dat DNS-reacties legitiem en waar zijn, terwijl het op dit moment niet weet wat nep is en welke nep echt zijn.

Lees meer over hoe encryptie hier werkt.

Wat SOPA zou hebben gedaan

Dus hoe speelde de Stop Online Piraterijwet, beter bekend als SOPA, in dit alles? Welnu, als je SOPA volgde, realiseer je je dat het is geschreven door mensen die het internet niet begrepen, dus het zou op verschillende manieren "het internet breken". Dit is er een van.

Onthoud dat DNSSEC eigenaren van domeinnamen toestaat hun DNS-records te ondertekenen. Dus, thepiratebay.se kan DNSSEC gebruiken om de IP-adressen te specificeren waaraan het is gekoppeld. Wanneer uw computer een DNS-lookup uitvoert - of het nu voor google.com of thepiratebay.se is - zou DNSSEC de computer toestaan ​​te bepalen of het de juiste reactie ontvangt zoals gevalideerd door de eigenaren van de domeinnaam. DNSSEC is slechts een protocol; het probeert niet te discrimineren tussen "goede" en "slechte" websites.

SOPA zou Internet-serviceproviders verplicht hebben DNS-lookups om te verwijzen naar 'slechte' websites. Als de abonnees van een internetprovider bijvoorbeeld probeerden toegang te krijgen tot thepiratebay.se, zouden de DNS-servers van de internetprovider het adres van een andere website retourneren, wat hen zou informeren dat de piratebaai was geblokkeerd.

Met DNSSEC zou een dergelijke omleiding niet te onderscheiden zijn van een man-in-the-middle-aanval, die DNSSEC was bedoeld om te voorkomen. ISP's die DNSSEC inzetten, moeten reageren met het daadwerkelijke adres van de Pirate Bay en zouden dus SOPA schenden.Om tegemoet te komen aan SOPA zou DNSSEC er een groot gat in moeten steken, een die het voor internetproviders en overheden mogelijk zou maken DNS-verzoeken voor domeinnamen om te leiden zonder toestemming van de eigenaars van de domeinnaam. Dit zou moeilijk (zo niet onmogelijk) zijn om op een veilige manier te doen, waardoor waarschijnlijk nieuwe gaten in de beveiliging voor aanvallers worden geopend.


Gelukkig is SOPA dood en zal het hopelijk niet meer terug komen. DNSSEC wordt momenteel geïmplementeerd en biedt een oplossing die al lang op zich laat wachten voor dit probleem.

Top Tips:
Reacties: