Webwinkeleigenaren zijn steeds bewuster bezig met de beveiliging van hun online winkel. DNSSEC-beveiliging is helaas echter nog geen gemeengoed.
Tekst: Marco Davids
Uit onderzoek van SIDN (Stichting Internet Domeinregistratie Nederland) bleek begin dit jaar dat ruim de helft van de Nederlandse webwinkels een SSL-certificaat heeft. Dit certificaat - te herkennen aan het slotje en de https-aanduiding in de zoekbalk van de browser - voorkomt dat een hacker persoonlijke gegevens van een webshopbezoeker kan onderscheppen.
Een positieve ontwikkeling, maar webwinkeleigenaren moeten verder kijken dan het SSL-certificaat. Het certificaat beschermt namelijk onvoldoende tegen de manoeuvres van de geoefende hacker. Het SSL-certificaat alleen voorkomt DNS-spoofing bijvoorbeeld niet. Bij DNS-spoofing worden bezoekers naar een valse website geleid, terwijl ze wel de juiste URL intypen. Webshopbezoekers laten nietsvermoedend persoonlijke gegevens achter op de valse website. De gegevens komen vervolgens terecht in de handen van internetcriminelen.
Cryptografische beveiliging van domeinnaaminformatie
Gelukkig kan DNS-spoofing voorkomen worden met DNSSEC-beveiliging. DNSSEC (Domain Name System Security Extensions) is de cryptografische beveiliging van domeinnaaminformatie. Hiermee wordt de ‘bewegwijzering’ van het internet veiliger en betrouwbaarder. Bezoekers van websites waarvan de domeinnamen beveiligd zijn met DNSSEC, zijn beter beschermd tegen omleiding naar sites waar valse informatie wordt gepubliceerd en gegevens worden ontfutseld.
Het aantal webwinkeleigenaren dat het belang van DNSSEC inziet is de afgelopen twee jaar gestegen. Toch blijkt uit cijfers (pdf) van SIDN dat de domeinnamen van de meeste webwinkels nog niet voorzien zijn van dit digitale echtheidskenmerk.
Webshop beveiligen met DNSSEC
Webshopeigenaren kunnen het echtheidskenmerk (kosteloos) ter ondertekening aanvragen bij hun domeinnaambeheerder, ook wel de ‘registrar’ genoemd. Als de betreffende registrar geen DNSSEC ondersteunt, kunnen webwinkeleigenaren hun domeinnaam verhuizen naar een registrar die dat wel doet. Webshopeigenaren die niet zeker weten of hun website al van een digitale handtekening is voorzien, kunnen dat controleren via een tool.
De ondertekende domeinnaam moet vervolgens door de internetprovider van de webshopbezoeker worden bevestigd, ofwel gevalideerd. Webwinkeleigenaren zijn wat DNSSEC betreft dus deels afhankelijk van de internetprovider van hun klanten. Gelukkig groeit het aantal internetproviders dat valideert, waaronder XS4all, BIT en Etudel. Internetexperts verwachten dat binnen enkele jaren alle internetproviders valideren.
DNSSEC legt de basis voor andere beveiligingsmethoden
DNSSEC legt ook de basis voor andere beveiligingsmogelijkheden. Een voorbeeld is Dane (DNS-based Authentication of Named Entities). Hiermee is een domeinnaamhouder er nagenoeg zeker van dat zijn e-mailverkeer niet door een hacker kan worden onderschept.
Webwinkeleigenaren doen er kortom verstandig aan de beveiliging van hun domeinnaam uit te breiden met DNSSEC. Zo creëren ze niet alleen een zo veilig mogelijke omgeving voor hun klanten, maar zijn ze ook klaar voor een veilige toekomst.
Aan de slag met DNSSEC-beveiliging? Volg deze stappen:
- Is jouw domeinnaam al ondertekend?
- Nee? Zorg dan voor een handtekening van de domeinnaambeheerde
-> Check of jouw registrar ondertekent
-> Doet hij dat niet, vraag hem ernaar. Verhuis zo nodig je domeinnaam naar een andere registrar.
Marco Davids is research engineer bij SIDN Labs.
Lees ook: Aantal criminele nepshops snel gegroeid (1 november 2017)
Voor de webwinkel eigenaren die niet zeker weten of hun DNSEC goed staat ingesteld: https://dnssec-debugger.verisignlabs.com/twinklemagazine.nl .