Kip-ei-probleem

Waar we absoluut niets te klagen hebben over het aantal ondertekende .nl-domeinnamen, blijft de validatie van DNSSEC bij service en access providers nog achter. Daar speelt een kip-ei-probleem: wie nu valideert kan te maken krijgen met fouten veroorzaakt door domeinen waarvan de DNSSEC-keten om wat voor reden dan ook niet in orde is. Wrang hierbij is dat de last hiervan terecht komt bij goedwillende, vooruitstrevende ISP's terwijl de oorzaak in het algemeen ligt bij DNS-operators en registrars die hun zaakjes niet goed voor elkaar hebben. De beste manier om deze impasse te doorbreken is te zorgen dat er snel meer partijen gaan valideren. Door tegelijkertijd registrars te helpen hun ondertekende domeinnamen correct te configureren, hebben we het percentage problematische domeinen het afgelopen jaar al weten te halveren.

De validatieproblematiek was voor ons ook de belangrijkste reden om met SURFnet te participeren in de Campus Challenge. Deze competitie was onderdeel van het GigaPort3-innovatieprogramma en bedoeld om onderwijs- en onderzoeksinstellingen te stimuleren om hun IT-infrastructuur te verbeteren en daarmee het wetenschappelijk onderzoek in Nederland te versterken. De Campus Challenge was veel breder dan dat, maar specifiek voor de implementatie van DNSSEC droeg SIDN een ton bij aan het beschikbare prijzengeld. Vier van de projecten van de vijf winnaars  zijn inmiddels succesvol afgerond, en bij vier instellingen wordt DNSSEC ook al gevalideerd. Ook de laatste partij rond het DNSSEC-deel in de komende maanden af.

Gewoon aanzetten

Wat de Campus Challenge voor ons bijzonder maakte was de mogelijkheid om validatie te stimuleren bij instituten die ook zelf ondertekening doen. Het idee was dat adoptie makkelijker zou zijn bij partijen die beide rollen in zich verenigen. De voorwaarde die wij aan onze bijdrage hebben gesteld was dan ook dat deelnemers minstens DNSSEC-ondertekening zouden doen, en bij voorkeur ook validatie. Op die manier konden wij beide kanten stimuleren terwijl we maar één partij hoefden aan te sturen.

Op dit moment valideren de Universiteit Twente, de Rijksuniversiteit Groningen, CWI en AMOLF voor al hun medewerkers. Bij de twee universiteiten wordt bovendien voor alle studenten gevalideerd. Het gaat het dan maar liefst om respectievelijk 30 en 100 duizend apparaten die allemaal gebruikmaken van DNSSEC. Die schaal is heel belangrijk om ISP's te laten zien dat het allemaal niet zo ingewikkeld is: je kunt validatie in de meeste gevallen gewoon aanzetten.

Intensievere samenwerking

De tweede reden voor ons om mee te doen was de mogelijkheid om onze banden met de onderzoeks- en onderwijsinstellingen verder aan te halen en onze zichtbaarheid in deze wereld te vergroten. We hebben hier immers een eigen onderzoeksteam zitten: SIDN Labs. Dit was voor ons een goede gelegenheid om de samenwerking met universiteiten en SURFnet te verstevigen.

Dat werkt twee kanten op: door bij te dragen aan het opwaarderen van de campus-netwerken willen we ook topklasse onderzoek in Nederland faciliteren. Een snel en veilig netwerk maakt het voor onderzoekers immers makkelijker om wetenschappelijk werk uit te voeren. Dat sluit direct aan bij de ambities en doelstellingen van SURFnet en dient een maatschappelijk belang dat veel breder is dan DNSSEC of het .nl-domein.

Andersom versterken we met onze inzet in de Campus Challenge ook ons innovatieve imago in de onderwijs en onderzoekswereld, waarmee we bijvoorbeeld nieuwe collega's, stageplaatsen en studentenprojecten aantrekken.

DNS als core business

SIDN Labs besteedt elk jaar een behoorlijk bedrag aan externe R&D. Daarmee investeren we onder andere in de verdere beveiliging van het internet in Nederland en dat van het .nl-domein in het bijzonder. Dat geld gaat bijvoorbeeld op aan sponsoring van het Privacy & Identity Lab en NLnet Labs. De ton die we aan de Campus Challenge hebben bijgedragen is een substantieel deel van onze jaarlijkse begroting.

Hoewel we ook investeren in de uitrol van IPv6 en dat ook onderdeel was van de Campus Challenge, hebben we hier specifiek gekozen voor DNSSEC. Beide zijn belangrijk, maar die laatste technologie ligt dichter bij ons; we werken daar bij SIDN Labs elke dag aan. Bovendien zijn wij de enige aangewezen partij met DNS als core business, terwijl er ook andere zijn die zich met IPv6 bezighouden.

Technologiepartner

De opbrengsten van deze investering in DNSSEC zien we onder andere terug in de contacten die we nu onderhouden met die instellingen. Maar voor het CWI -- ooit ons moederbedrijf -- was het bijvoorbeeld ook aanleiding om zich als rechtstreekse registrar bij ons aan te melden.

Daarnaast zijn we bij de verschillende projecten ook als technologiepartner betrokken geweest. Bij aanvang zijn we bij alle winnaars van de Campus Challenge langs geweest om kennis te maken, zodat men ons wist te vinden. Onze DNSSEC-specialisten hebben dan ook regelmatig kunnen helpen om een implementatie weer op weg te helpen als men ergens vastgelopen was.

Opvallend daarbij was dat kennisniveau van DNSSEC tussen de verschillende instellingen behoorlijk uiteen liep. Zo hadden het CWI, AMOLF en Nikhef een gezamenlijk projectplan ingediend. Het CWI had al veel expertise in huis en was in die samenwerking bijvoorbeeld leidend ten opzichte van AMOLF dat juist weer veel kennis van IPv6 heeft.

Tevreden

Al met al zijn we heel tevreden over hoe de Campus Challenge verlopen is en wat ons dat opgeleverd heeft. De adoptie is heel goed gelukt: alle vijf winnaars hebben DNSSEC uitgerold en het merendeel doet ook validatie, waarvan twee op grote schaal voor hun hele campusnetwerk.

Wat betreft het intensiveren van de relaties met de onderzoeks- en onderwijsinstellingen zijn we redelijk tevreden. We hebben daar gekozen om SURFnet als belangrijkste organiserende partij in de Campus Challenge het voortouw te laten nemen en hen de projecten van de challenge te laten managen. Hierdoor hebben wij ons vanuit SIDN op de technische aspecten van de implementatie kunnen richten en de winnaars kunnen helpen met hun vragen op het gebied van DNSSEC. Een volgende keer zouden we er wel de voorkeur aan geven om kleinere en gerichtere challenges uit te schrijven. Dat maakt het makkelijker om direct bij de projecten betrokken te zijn.

Nederlandse internet

Tenslotte was het interessant om te leren wat de belangrijkste argumenten van de instellingen waren om met DNSSEC aan de slag te gaan. Ten eerste wilden zij hun netwerk zo veilig mogelijk maken. DNSSEC-ondertekening en -validatie waren daar een belangrijk onderdeel van. Bovendien wilden ze dat ook graag laten zien. De tweede reden was dan ook dat de instellingen zich graag profileerden als organisaties die de techniek goed in de vingers hebben, innovatief zijn, en voorop lopen bij de implementatie van nieuwe technologieën.

Mooie opsteker voor ons is dat deze twee argumenten naadloos aansluiten bij de doelstellingen van SIDN zelf: wij lopen graag wereldwijd voorop met DNSSEC. Door de veiligheid van internet en de .nl-zone te verbeteren, vergroten we de waarde van het internet voor de Nederlandse maatschappij en economie.

Lees de case studies van RuG en CWI op www.dnssec.nl.