Algoritme 13 voor DNSSEC-ondertekening wint terrein

In deze nieuwe rubriek willen we, met enige regelmaat, interessante statistieken over .nl uitleggen. Alle statistieken worden op stats.sidnlabs.nl gepubliceerd. In deze post gaat het om de groeiende adoptie van algoritme 13 – een op elliptic curve gebaseerd cryptografisch algoritme dat gebruikt wordt om domeinnamen met DNSSEC te beschermen.

Met DNSSEC kunnen houders hun domeinnamen digitaal ondertekenen en resolvers kunnen verifiëren of de informatie die ze over de domeinnaam ontvangen klopt. Daarvoor moet de informatie over de domeinnaam die in het DNS staat cryptografisch ondertekend worden. Sinds 2016 is het mogelijk om .nl-domeinnamen ook met moderne, op elliptic curve gebaseerde algoritmes te signeren. Bovendien is de support van deze algoritmes bij resolvers groot: zoals met metingen te zien is ondersteunen bijna net zoveel DNSSEC validerende resolvers dit nieuwe algoritme als oudere, vaker gebruikte algoritmes. Via rootcanary.org kun je zelf controleren welke algoritmes jouw resolver ondersteunt. Wat is de stand van zaken 3 jaar na de introductie van de mogelijkheid?

Waarom Elliptic Curve?

Deze nieuwere algoritmes hebben de namen ECDSAP256SHA256 (nummer 13 in kort) en ECDSAP384SHA384 (nummer 14) en hebben veel voordelen in vergelijking met oudere algoritmen: handtekeningen van deze algoritmes zijn net zo veilig als bijvoorbeeld van RSA-algoritmen, maar zijn veel korter. Dat verkleint de mogelijkheid van misbruik tijdens DDoS-aanvallen en voorkomt dat DNSSEC-informatie te groot wordt voor sommige delen van het internet. Om deze redenen raadt ook de standaard RFC 8624 sinds deze maand aan dat ontwikkelaars van DNSSEC-software algoritme 13 moeten ondersteunen. Meer informatie over ECDSA vind je in een eerdere blogpost.

Elliptic Curve groeit in .nl

Grafiek 1 - Gebruikte DNSSEC-algoritmes bij .nl

Gebruikte DNSSEC-algoritmes bij .nl In bovenstaande grafiek zie je dat inmiddels bijna 7% van de gesigneerde .nl-domeinnamen met algoritme 13 gesigneerd is. Dat wil zeggen dat ze een key signing key (KSK) gebruiken met algoritme 13. Een jaar geleden was dit nog maar 3,5%. Populaire domeinnamen die met algoritme 13 gesigneerd zijn, zijn onder andere surfnet.nl, kpn.nl en rijksmuseum.nl. Algoritme 14 wordt in minder dan 1% van de gevallen gebruikt. Dit is niet erg, omdat algoritme 13 ook veilig genoeg is voor de toekomst. 32% van de domeinnamen die nu met algoritme 13 gesigneerd zijn, is eerder met andere, oudere algoritmen gesigneerd. Hier hebben operators een zogenoemde “algorithm rollover” uitgevoerd. De andere 68% zijn nieuwkomers en waren niet eerder door DNSSEC beschermt.

Elliptic Curve bij TLD’s

ECDSA groeit dus bij .nl-domeinnamen, maar hoe staat het met .nl zelf? .nl is op dit moment nog niet gesigneerd met algoritme 13 of 14 en gebruikt nog RSA/SHA-256 (nummer 8). Dit algoritme is nog steeds veilig genoeg maar we onderzoeken wat voor rollover we in de toekomst moeten doen en welke algoritmes ons geschikt lijken. Anderen TLDs, zoals .br, .ch, en .cz hebben deze stap inmiddels al succesvol uitgevoerd.

Samenvattend

In kort, ECDSA wordt meer en meer gebruikt en draagt daarmee bij aan een veiliger internet. De data van deze grafiek komt uit onze registratiedatabase, wordt wekelijks geactualiseerd en de geaggregeerde data vind je op stats.sidnlabs.nl. Volg deze blog ook in de toekomst om interessante inzichten in .nl te krijgen.

Reacties

Moritz-Muller

Moritz Müller

Research engineer

+31 26 35 255 00

moritz.muller@sidn.nl

  • vrijdag 26 januari 2018

    Nieuws

    Nieuwe lichting internetprojecten van start

    Thumb+logo+SIDN+fonds

    22 projecten starten met steun van SIDN fonds

    Lees meer
  • donderdag 28 december 2017

    Weblog

    Onderzoek met Ripe Atlas naar TTL-schending in het DNS

    Thumb-red-card

    Schenden van TTL’s in het DNS is een controversieel onderwerp

    Lees meer
  • woensdag 28 november 2018

    Nieuws

    Waarom zou je meer data delen dan noodzakelijk is?

    Thumb-privacy-on-digital-background

    Privacy by Design en SIDN bundelen krachten

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.