In januari heeft DNS Belgium met succes het algoritme om de records van .be, .vlaanderen en .brussels te ondertekenen geüpgraded naar een veiligere variant. Het algoritme gaat van RSA/SHA-256 (versie 8) naar ECDSA Curve P-256 met SHA-256 (versie 13). Wat wil dat zeggen en hoe gaat dat in zijn werk?
Met deze upgrade vernieuwen we de manier waarop we bij DNS Belgium de integriteit van een domeinnaam controleren. Het geeft zekerheid dat de inhoud en het antwoord tussen eindgebruiker en domeinnaam niet is aangepast. Het bevestigt op die manier dat de website of mailserver die je raadpleegt, de juiste is.
Het is vergelijkbaar met een middeleeuwse wassen zegel op een brief: het beveiligt niet rechtstreeks, maar geeft wel zekerheid over afzender en ontvanger en dat de inhoud niet werd gemanipuleerd.
Wat doet deze beveiligingslaag?
Een algoritme rollover is voor de meeste internetgebruikers onbekend terrein. Toch is het een cruciaal stukje van onze online veiligheid. “Het maakt deel uit van DNSSEC . Dat is de beveiligingslaag van DNS-gegevens, die de integriteit en authenticiteit waarborgt door middel van digitale handtekeningen. Bij een algoritme rollover wordt het algoritme vervangen waarmee deze digitale handtekeningen worden aangemaakt en gecontroleerd”, vertelt Geert Verheyen, DNS operations engineer, bij DNS Belgium.
Als die beveiligingssleutel te kraken valt, kan een malafide partij zich voordoen als elk .be-domein. Het verkeer van en naar websites of mailadressen in de .be-zone valt dan te onderscheppen of te manipuleren. Door tijdig over te stappen volgen we de wereldwijde veiligheidsstandaarden en houden we domeinnamen voor .be, .vlaanderen en .brussels bij de veiligste ter wereld.
Kleiner, maar beter
De upgrade brengt het algoritme van versie 8 naar versie 13. Dit werd de afgelopen weken zorgvuldig uitgerold over de drie zones die DNS Belgium beheert. .brussels en .vlaanderen kwamen eerst aan bod, gevolgd door .be als grootste zone.
Het grote verschil tussen algoritme 8 (RSA/SHA-256) en 13 (Elliptic Curve of technischer: ECDSA Curve P-256) is dat het nieuwe algoritme ongeveer de helft kleiner is in datavolume. Hoewel het gaat over enkele honderden bytes per domeinnaamverzoek, betekent dat ook dat er minder data wordt verzonden en ontvangen door de betrokken servers. “De sleutels zijn kleiner, maar geven dezelfde of betere bescherming tegen bruteforceaanvallen,” legt Stijn Niclaes, DNS infrastructure manager bij DNS Belgium, uit. “Vergelijk het met een kleiner cijferslot met meer combinaties.”
Deze versie is kleiner in pakketgrootte, vraagt minder rekenkracht om aan te maken, maar vereist iets meer rekenkracht om het te valideren.
Bij de keuze voor zo’n algoritme weeg je drie zaken af: hoe groot is je pakket, hoeveel rekenkracht is er nodig om de digitale handtekening te maken en hoeveel rekenkracht is er nodig om die handtekening te valideren. “Dat is een balans die je maakt. Deze versie is kleiner in pakketgrootte, vraagt minder rekenkracht om aan te maken, maar vereist iets meer rekenkracht om het te valideren,” zegt Thomas Dupas, Nameserver coördinator bij DNS Belgium.
Al is die extra rekenkracht niet in die mate dat andere spelers daardoor hun infrastructuur moeten aanpassen om een bezoek aan Belgische websites te faciliteren. “Moderne infrastructuur kan dit perfect aan,” volgens Dupas.
Waarom gebeurt dit nu?
Dit proces vernieuwen gebeurt zelden. Sven Van Dyck, DNS operations engineer bij DNS Belgium: “Het vorige algoritme was 15 jaar in gebruik en wordt vandaag nog steeds breed ondersteund. De overstap gebeurt dus ruim op tijd.”
“Als registry wil je die overstap tijdig inplannen en zorgvuldig uitvoeren, lang voor de ondersteuning van een veiligheidsstandaard stopt. Tegelijk wil je ook zeker zijn dat een nieuw algoritme wereldwijd voldoende wordt ondersteund vooraleer je het in gebruik neemt.”
Daar behoren we met DNS Belgium tot de middenmoot ten opzichte van andere Europese ccTLD ’s. Onze collega’s van SIDN, de beheerders van .nl, stapten al in 2023 over, maar veel internetextensies, waaronder enkele buurlanden, zijn op dit moment nog niet overgestapt.
Hoe lang de nieuwe standaard meegaat, hangt sterk af van technologische evoluties. De kans is groot dat dit algoritme vijf jaar of langer meegaat, maar een nieuwe upgrade kan ook sneller gebeuren mochten nieuwe standaarden snel matuur worden of er plots grote technologische doorbraken komen.
Hoe gebeurt zo’n upgrade in de praktijk?
Een upgrade van het algoritme is een vastgelegd proces, al komt er wel wat werk bij kijken voor onze netwerkingenieurs. Eerst wordt de signingsoftware compatibel gemaakt met dual signing. Die software heeft veel controlemechanismen en moet in de eerste fase zowel algoritme 8 als algoritme 13 kunnen verwerken. Je wilt geen van die mechanismen tijdelijk uitschakelen want dan ontstaat er een veiligheidsrisico.
Het ene algoritme verwijderen en direct vervangen door het andere is evenmin mogelijk. Omdat een groot deel van het internetverkeer steunt op cache, riskeer je met zo’n aanpak een deel van het internet stuk te maken. “Daarom dat we, na het compatibel maken met de nieuwe standaard, een tijdlang alles dubbel ondertekenen,” zegt Dupas.
De volledige .be-zone, zo’n 1,7 miljoen domeinnamen, wordt ondertekend op iets minder dan tien minuten tijd.
Dat dubbel ondertekenen maakt dat servers, wanneer ze hun cache verversen en opnieuw contact opnemen met de nameservers van DNS Belgium, informatie die is ondertekend met algoritme 13 ophalen. Zodra dat wereldwijd is gebeurd, wordt algoritme 8 uit dienst genomen en is de upgrade afgerond.
Gaat mijn website hierdoor sneller of trager?
Neen. “De volledige .be-zone, zo’n 1,7 miljoen domeinnamen, wordt ondertekend op iets minder dan tien minuten tijd. Op momenten van het dubbel ondertekenen (door algoritme 8 en 13) loopt dat op tot 13 minuten, wat weer zakt zodra we overschakelen naar één algoritme,” legt Verheyen uit.
“Met de nieuwe standaard duurt het iets meer dan tien minuten.” Maar dat merk je als internetgebruiker niet. De meeste internetadressen zijn immers al in kaart gebracht in de cache van de nameservers van onder meer je internetprovider.
Alleen wie een domeinnaam bezit en in de achtergrond technische aanpassingen doorvoert, kon daar tijdens de dubbele ondertekening iets van merken. Stel dat je de nameservers achter je domeinnaam aanpast (bijvoorbeeld om je domein te koppelen aan Cloudflare), dan duurde het bij de dubbele ondertekening langer voor dat zichtbaar was. Maar we spraken hier over een verschil van enkele minuten. Het bezoeken of iets publiceren op een website, blijft even vlot gaan als tevoren, met een modernere laag om de authenticiteit van een domein te verzekeren.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.