De beveiligingsuitbreiding op het Domain Name System DNSSEC die in het .nl-domein grootschalig is uitgerold kende tot voor kort een onopgelost probleem: het verhuizen van een met DNSSEC beveiligde domeinnaam naar een andere DNS-operator. SIDN, beheerder van het .nl-domein, bedacht een unieke oplossing: een ‘key relay’.
Het verhuizen van een domeinnaam, meestal samen met de bijbehorende website, is vaak lastig. De oude en nieuwe leverancier moeten goed samenwerken om de overgang voor de eindklant zo geruisloos mogelijk te laten verlopen. DNSSEC zorgt ervoor dat internetgebruikers zeker weten dat zij niet op een malafide website terechtkomen terwijl ze wel de juiste domeinnaam hebben gebruikt. Dit verhoogt de internetveiligheid, maar de technologie is complexer dan het ‘gewone’ DNS. Hierdoor kan een domeinnaam tijdens een verhuizing enkele uren onbereikbaar of onbeveiligd raken, wat hetzelfde effect heeft op de bijbehorende website; een ongewenste situatie, onder meer voor bedrijven die voor hun inkomsten afhankelijk zijn van de website.
Het veilig kunnen verhuizen van een DNSSEC-domeinnaam neemt een significante hobbel voor de verdere uitrol van DNSSEC weg. Dit is vooral belangrijk voor het .nl-domein, omdat deze wereldwijd het grootste aantal DNSSEC-domeinnamen kent (1,5 miljoen). De oplossing met behulp van een key relay kent daarnaast een groot draagvlak onder de .nl-registrars. Registrars Monshouwer Internet Diensten en Metaregistrar namen key relay direct na de introductie op 16 juli succesvol in gebruik. Kees Monshouwer van Monshouwer Internet Diensten: ‘Dit was een actie tussen een van de grootste en een van de kleinste DNSSEC-ondersteunende registrars. De eerste verhuizing waarbij het sleutelmateriaal is overgedragen met het nieuwe proces EPP key relay is hiermee een feit!’ Ewout de Graaf Business Unit Manager, Metaregistrar: ‘Wij zijn trots dat we met Mijndomein aan het hoofd mogen staan van de nieuwste internetontwikkelingen en we willen blijven investeren in de meest veilige internetbeleving voor onze klanten.’
Bij het nieuwe concept wordt gebruik gemaakt van de registry als centraal punt om sleutelmateriaal van de verkrijgende naar de latende DNS-operator te sturen. Antoin Verschuren, technisch adviseur bij SIDN, licht toe: “De innovatie die wij nu gebruiken is om DNS-operators te laten communiceren via het kanaal dat ze toch al gebruiken om domeinnamen te registreren en te onderhouden: het administratieve kanaal via de registry. We noemen deze interactie om sleutelmateriaal uit te wisselen een ‘key relay’.”
Het unieke van deze oplossing is het feit dat deze onafhankelijk van specifieke businessrollen en communicatieprotocollen plaatsvindt. Daarnaast bestaat een groot draagvlak onder de .nl-registrars en is het eenvoudig te implementeren. DNSSEC wordt op dit moment door verschillende partijen uitgerold, bijvoorbeeld door Google, Comcast en door verschillende landendomeinen zoals .br (Brazilië), .cz (Tsjechië) en .se (Zweden). SIDN heeft in 2012 DNSSEC op grote schaal uitgerold. Het .nl-domein kent daardoor inmiddels meer dan 1,5 miljoen domeinnamen die met DNSSEC zijn beveiligd en is hiermee wereldwijd het landendomein met de meeste DNSSEC domeinnamen. Door het proces van DNSSEC-operator changes te faciliteren, levertSIDN een belangrijke bijdrage aan verdere beveiliging van de .nl-zone. Het key-relay-proces is inmiddels ingediend bij de IETF als een internet draft met de ambitie de internationale standaard te worden van het veilig verhuizen van domeinnamen.