DNSSEC-inventarisatie, februari 2017

Achterblijven banken en beheerders internet-infrastructuur reden tot zorg

6 maart 2017

Management Summary

  • op dit moment is 46% van de .nl-domeinen ondertekend; dat aandeel groeit nog steeds, al is de initiële snelle groei inmiddels wel afgevlakt; daarmee heeft de incentive-regeling van SIDN zijn werk gedaan

  • inmiddels zien we de opkomst van nieuwe veiligheidstoepassingen die boven op de cryptografisch beveiligde infrastructuur van DNSSEC geïmplementeerd worden:

    • DKIM, SPF en DMARC om phishing en spoofing tegen te gaan,

    • DANE voor de hoognodige extra beveiliging van TLS-certificaten voor web en mail

  • daarmee is DNSSEC van een technologie-gedreven kostenpost overgegaan in een enabler voor belangrijke beveiligingstoepassingen

  • hoewel de globale stijging van het aandeel DNSSEC-ondertekende domeinnamen duidelijk is terug te zien in vrijwel alle gemeten categorieën, zijn er nog steeds grote verschillen

  • overheden zitten inmiddels met een aandeel van 59% ondertekende domeinnamen in de top van de ranglijst; dat is met name te danken aan de opname van DNSSEC in de 'pas toe of leg uit'-lijst (ptolu) van het Forum Standaardisatie en de lancering van de Internet.nl portal

  • ondanks dat wij van mening zijn dat de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn, scoren zij het slechtst van allemaal; net als twee-en-half jaar geleden heeft slechts een enkeling zijn domeinnaam ondertekend; met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden; bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC in combinatie met DKIM bescherming tegen kan bieden

  • ook de mobiele telecom-aanbieders, access providers, service providers en de ondernemingen verantwoordelijk voor de datatransport-backbone doen het opvallend slecht; slechts een klein deel van deze bedrijven heeft zijn domeinnaam ondertekend; hetzelfde geldt voor de validerende zijde; de twee grootste Nederlandse access providers (KPN en Ziggo) doen geen validatie voor hun klanten; deze bevindingen staan dan ook in schril contrast met de positionering van het Nederlandse internet als de derde mainport naast Schiphol en de Rotterdamse haven

Inleiding

DNSSEC

DNSSEC is een cryptografisch beveiligingssysteem voor DNS, de internet-adresgids die zorgt voor de vertaling van domeinnamen naar IP-adressen (en andersom). DNSSEC voorziet de DNS-informatie (de records) van een digitale handtekening, zodat de client (d.w.z. de resolver) kan controleren of de inhoud authentiek is.

DNSSEC is een voorwaarts compatibele uitbreiding van het DNS-protocol. Dat betekent dat resolvers en name servers zonder problemen met elkaar kunnen samenwerken, ongeacht of zij DNSSEC ondersteunen. Het beveiligingssysteem is echter alleen in werking als beide zijden DNSSEC ondersteunen. Daarvoor moet de betreffende domeinnaam ondertekend zijn (aan server-zijde) en moeten de digitale handtekeningen inderdaad geverifieerd worden (aan client-zijde). Alleen dan is de integriteit van de name server en het transport van de DNS-informatie beschermd.

Belang

Voor bedrijven is veel van de interactie met klanten, partners en leveranciers al naar internet verschoven. Ook overheden en andere organisaties communiceren onderling en met burgers en bedrijven steeds meer via internet. Daarmee is ook het belang van een goed beveiligde digitale ingang sterk toegenomen. Bezoekers moeten ook online op de betrouwbaarheid van een merk of organisatie kunnen rekenen. Een onveilige internet-dienst — laat staan een kraak — levert zowel reputatie- als zakelijke/financiële schade op.

Weet een kwaadwillende de DNS-informatie op de name-server, onderweg of bij de client te veranderen, dan kan hij die client naar een valse server sturen. Op die manier kunnen paswoorden en andere vertrouwelijke gegevens worden buitgemaakt, of geld en omzet worden gestolen. DNSSEC beschermt de integriteit van de name server en het transport van de DNS-informatie. Dat is voor aanbieders van internet-diensten een garantie dat verkeer van bezoekers inderdaad op de juiste plaats terecht komt.

Historie

De afgelopen jaren heeft SIDN groot ingezet op DNSSEC, de cryptografische beveiliging van domeinnaam-informatie. Dat begon in 2010 met de ondertekening van ons eigen .nl top-level domein en het Friends & Family programma waarmee de eerste houders hun domein van een digitale handtekening konden voorzien. De grote doorbraak kwam twee jaar later met de incentive-regeling die de registrars een korting geeft op ondertekende domeinnamen.

Stand van zaken

Inmiddels (stand van zaken op 8 februari 2017) zijn 2.595.754 van de 5.701.008 nl-domeinen ondertekend (46%). Dat aandeel neemt nog steeds toe, al is die hele snelle groei inmiddels wel afgevlakt. De afgelopen twee jaar hebben we geen grote DNSSEC-projecten meer gezien van registrars die hun domeinnamen met honderdduizenden tegelijk ondertekenden. Alle registrars met een dergelijk groot portfolio aan .nl-domeinen hebben DNSSEC inmiddels ingevoerd, waarmee de incentive-regeling wat dat betreft zijn werk heeft gedaan.

DNSSEC-ondertekende .nl-domeinnamen [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#domain]

De afgelopen twee jaar hebben we wel steeds vaker kunnen berichten over het gebruik van nieuwe veiligheidstoepassingen die bovenop de crypografisch beveiligde infrastructuur van DNSSEC geëmplementeerd worden: het drietal DKIM, SPF en DMARC om phishing, spamming, spoofing en andere e-mail-malware tegen te gaan, en DANE voor de broodnodige extra beveiliging van de TLS-certificaten voor web ("het sleuteltje") en mail.

.nl-domeinnamen waarvan bekend is dat ze DANE gebruiken [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#dane]

DNSSEC en DKIM stonden al langer op de 'pas toe of leg uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat overheidsorganisaties bij de vernieuwing van hun systemen min-of-meer verplicht zijn om deze standaarden te implementeren. Onlangs zijn STARTTLS en DKIM voor mail daar bij gekomen. De lancering van de Internet.nl portal, waar domeinnamen gecontroleerd kunnen worden op het gebruik van moderne en veilige internet-standaarden, is onderdeel van deze ontwikkeling.

Met de implementatie en het gebruik van nieuwe toepassingsmogelijkheden boven op de DNSSEC-infrastructuur is ook de positie van DNSSEC in belangrijke zin veranderd: deze beveiligingsstandaard is hiermee van technologie-gedreven kostenpost overgegaan in een enabler voor belangrijke beveiligingstoepassingen.

Validatie

De waarde van DNSSEC zit uiteindelijk in de validatie van de ondertekende domeinnamen door bezoekers en gebruikers daarvan. Daarmee zijn validatie en ondertekening complementair aan elkaar, en beide nodig om deze cryptografisch beveiligde infrastructuur te kunnen uitnutten (in de DNSSEC-wereld wel bekend als "het kip-ei probleem").

DNSSEC queries (relatief) [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#query]

DNSSEC queries (absoluut) [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#resolver]

Een ouder argument voor organisaties die zelf hun DNS beheren was dat maar een beperkt aantal Internet-providers validatie deed voor zijn gebruikers. Hoewel het nog wachten is op de twee grootste (KPN en Ziggo), zijn er inmiddels flink wat Internet-providers (waaronder XS4All, BIT en Edutel) die wel valideren voor hun klanten. Een deel daarvan heeft de ondersteuning van DNSSEC ook expliciet naar hun klanten gecommuniceerd, waarmee de implementatie van DNSSEC ook commerciële waarde heeft gekregen.

DNSSEC queries van resolvers op Nederlandse netwerken [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#sharenl]

DNSSEC queries van resolvers op Nederlandse netwerken, in de tijd [8 februari 2017; bron: http://stats.sidnlabs.nl/#/dnssec/#sharenlts]

Hoewel SIDN zelf in principe geen directe relatie heeft met de Internet-providers (voor zo ver zij niet ook registrar zijn), probeert zij toch ook de validatie van DNSSEC te stimuleren. Voorbeelden daarvan zijn de participatie in het Internet.nl portal-project en de lancering onlangs van de Valibox, een apparaatje waarmee eindgebruikers hun draadloze thuis/kantoor-netwerk van DNSSEC-validatie kunnen voorzien.

Een grote sta-in-de-weg voor validatie, een relatief groot aantal bogus domeinnamen in de .nl zone, behoort inmiddels tot de verleden tijd.

boven: Totaal aantal gevonden validatiefouten, over 2016 [bron: SIDN]; onder: Aantal registrars met gevonden validatiefouten, over 2016 [bron: SIDN]

DNSSEC-inventarisatie, februari 2017

Om beter inzicht te krijgen in de opbouw van het beveiligde domeinbestand hebben we gedetailleerder gekeken naar de toepassing van DNSSEC in verschillende sectoren. Wat je zou hopen en verwachten is dat organisaties waar veiligheid, geloofwaardigheid en betrouwbaarheid een belangrijke rol spelen hun hoofddomeinen vaker dan gemiddeld ondertekend hebben.

Voor deze inventarisatie zijn 27 lijstjes met domeinnamen gemaakt — deels met de hand verzameld, deels overgenomen van branche-organisaties. Dat is een flinke uitbreiding ten opzichte van de eerste inventarisatie, uitgevoerd in het najaar van 2014.

Bij de selectie van de verschillende categorieën hebben we specifiek gekeken naar segmenten waarvan we menen dat de beveiliging met DNSSEC belangrijker is dan voor andere. Denk aan banken, internet-winkels, grote ondernemingen, overheidsorganisaties en kranten. Maar ook van internet- en telecom-providers verwachtten we meer. Zij hebben immers meer netwerk- en security-gerelateerde expertise in huis en kunnen DNSSEC zelf als dienst aan hun klanten aanbieden.

Voor de afzonderlijke categorieën is vervolgens onderzocht hoe groot het aandeel ondertekende domeinnamen is. Daarvoor is gebruik gemaakt van de DNSSEC Portfolio Checker van SIDN Labs.

Uitkomsten

De tabel hieronder geeft een overzicht van onze bevindingen, gegroepeerd in een viertal sectoren. De kolommen met de categorieën en de percentages ondertekende domeinnamen zijn het meest interessant. Doorklikken op de categorie geeft een gedetailleerd overzicht van de onderzochte domeinen en de uitkomsten van onze meting.

Sectoren/categorieën 2017 2014
domeinen ondertekend percentage
Financiële dienstverleners
Financials 278 44
Banken 64 4
Betalingsverkeer 54 9
Verzekeraars 119 27
Pensioenfondsen 194 58
Pensioenorganisaties 14 5
Gepensioneerden-organisaties 31 13
Publieke sector
Overheidsorganisaties 627 325
Gemeenten 221 42
ZBO's 69 20
Toezichthouders 30 6
Zorginstellingen 219 55
Hoger onderwijs 90 16
Wetenschappelijk onderzoek 152 45
Onderzoeksorganisaties (NARCIS) 1008 239
Internet en telecom
Telecom 6 2
MVNO's 79 23
Internet-providers 24 7
Internet Service Providers 79 18
Internet-infrastructuur 39 25
AMS-IX leden 716 53
NL-ix leden 559 104
Bedrijfsleven
Beursgenoteerde ondernemingen 107 11
Nutsvoorzieningen 56 20
Thuiswinkels 2155 626
Kranten 51 17

Zoals bovenstaande tabel laat zien, meten we nog steeds grote verschillen tussen de afzonderlijke categorieën. Tegelijkertijd zien we de stijging van het aandeel DNSSEC-ondertekende domeinnamen in de gehele .nl-zone ook duidelijk terug in een stijging over de afzonderlijke categorieën (waar voor een klein gedeelte ook andere dan .nl-domeinen bij zitten).

Waar twee jaar geleden met name de financiële dienstverleners, grote ondernemingen, overheden en internet-providers nog een grote achterstand ten opzichte van de rest hadden, is dat inmiddels wel sterk veranderd. Overheden zitten inmiddels met een aandeel van 52% ondertekende domeinnamen boven in de ranglijst. Dat is met name te danken aan de opname van DNSSEC in de ptolu-lijst van het Forum Standaardisatie en de lancering van de (algemeen beschikbare) Internet.nl portal.

Internet en telecom

sectors1-InternetTelecom

Alleen de specialisten die het Nederlandse internet ontwikkelen en onderhouden — waaronder ook SIDN — scoren met 64% hoger dan de overheid. De Internet-providers (IAP's) en Internet Service Providers (ISP's) zitten nu met respectievelijk 29% en 23% in de middenmoot, waar de IAP's twee jaar geleden nog maar 7% scoorden.

De grote ondernemingen verantwoordelijk voor de infrastructuur-onderdelen van het Nederlandse internet en de verbindingen met de rest van de wereld doen het echter slecht.

Van de vier mobiele telecom-aanbieders (KPN, T-Mobile, Tele2 en Vodafone) heeft nog steeds geen een zijn domeinnaam ondertekend — die 33% is een vertekende statistiek omdat we hier ook RTV-zendmast-beheerder Alticom en toezichthouder Agentschap Telecom bij hebben gezet, en die hebben beide hun domeinnaam wel ondertekend.

Ook de ondernemingen verantwoordelijk voor de datatransport-backbone scoren opvallend laag: van de leden van de Amsterdam Internet Exchange (AMS-IX) en NL-ix knooppunten hebben respectievelijk maar 7% en 17% hun domeinnaam ondertekend. Dat wringt met name met de positionering van het Nederlandse internet als de derde mainport [1, 2, 3] naast Schiphol en de Rotterdamse haven.

Financiële dienstverleners

sectors1-FinancieleDienstverleners

De banken deden het twee jaar geleden niet alleen het slechtst van allemaal, ze zijn in de tussentijd ook absoluut stil blijven staan. Slechts een enkeling (ASN, ASR, DHB en Interbank) heeft zijn domeinnaam ondertekend, en dat is exact dezelfde sitatie als twee jaar geleden. De reactie van Betaalvereniging Nederland destijds — de technologie is nog niet volwassen genoeg en er zijn nog niet genoeg validerende Internet-providers — gaf al weinig hoop op verbetering.

Desondanks zijn wij van mening dat van alle onderzochte categorieën de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC bescherming tegen kan bieden.

De collega's in verzekeringen en pensioenen hebben zich in de afgelopen twee jaar wel sterk weten te verbeteren, en doen op dit moment mee in de middenmoot.

Publieke sector

sectors1-PubliekeSector

Hetzelfde geldt voor overheidsorganisaties. Zij bleven twee jaar geleden sterk achter bij de rest van de domeinnaamhouders, maar hebben inmiddels een veel sterkere positie ingenomen. Dat is duidelijk het gevolg van beleid op dit gebied. DNSSEC is vier jaar geleden op de ptolu-lijst van het Forum Standaardisatie gezet. Onlangs zijn STARTTLS en DKIM voor mail daar bij gekomen. Dat betekent dat overheidsorganisaties bij de vernieuwing van hun systemen min-of-meer verplicht zijn om deze standaarden te implementeren.

Daarnaast heeft het Forum Standaardisatie vorig jaar de Internet.nl portal opgezet. Daar kan iedereen zijn eigen domeinnaam of die van anderen controleren op het gebruik van moderne en veilige internet-standaarden.

Naar aanleiding van berichtgeving over de slechte beveiliging van gemeentelijke sites heeft Minister Plasterk van Binnenlandse Zaken onlangs gezegd dat alle Nederlandse gemeenten eind 2017 hun domeinnamen met DNSSEC moeten hebben beveiligd. Op dit moment is dat echter voor nog maar 19% van de gemeentelijke domeinnamen het geval, dus daar zal komend jaar nog veel werk verzet moeten worden.

Opvallende stijger in deze sector is ook de onderzoekswereld, waarvan het aandeel ondertekende domeinnamen van 9% naar 30% is gegroeid. SIDN heeft daar ook een belangrijke aanzet gegegeven door in de zomer van 2014 als onderdeel van de Campus Challenge vijf instellingen te helpen met hun DNSSEC-implementatie.

Bedrijfsleven

sectors1-Bedrijfsleven

In het Nederlandse bedrijfsleven kruipt het aandeel ondertekende domeinnamen vooruit. Beursgenoteerde ondernemingen, thuiswinkels en kranten zijn er allemaal ietsje op vooruit gegaan. Met een aandeel van 10% ondertekende domeinnamen doen de beursgenoteerde ondernemingen het nog steeds erg slecht.

De razendsnelle groei bij de kleine bedrijven (thuiswinkels) is inmiddels afgevlakt. Die was destijds te danken aan de grote registrars die hun domeinen met honderdduizenden tegelijk ondertekenden, gedreven door de incentive-regeling van SIDN. Omdat veel van de kleine bedrijven hun site met alles erop en eraan bij een dienstverlener afnemen, liftten zij hier automatisch op mee.

Alle registrars met een dergelijk groot portfolio aan .nl-domeinen hebben DNSSEC inmiddels ingevoerd, waarmee ook die razendsnelle groei er niet meer is. Wat dat betreft heeft de incentive-regeling zijn werk gedaan. De huidige, meer gestage groei wordt vooral gedreven door middelgrote en kleine registrars en bedrijven, voor wie de implementatie van DNSSEC meestal onderdeel is van een upgrade van hun DNS-infrastructuur.

Grote ondernemingen in het algemeen, en banken en telecom-bedrijven in het bijzonder, staan bekend hun traagheid van bewegen. Daarnaast zijn het veel meer dan andere organisaties gebruikers van Infoblox-appliances. De DNSSEC-implementatie van Infoblox is echter sterk verouderd, wat een aanvullende reden zou kunnen zijn voor grote ondernemingen om de ondertekening van hun domeinnamen uit te stellen.

Al met al blijven alle sectoren voor wie wij denken dat DNSSEC belangrijk is achter ten opzichte van het gemiddelde aandeel ondertekende domeinnamen (45%). Met name die domeinnaamhouders waarvoor DNSSEC een belangrijke toevoeging biedt aan de beveiliging van hun online ingang en de veiligheid van hun klanten — de banken — presteren hier het slechtst. Zij laten bovendien als enige groep over de afgelopen twee jaar geen enkele verbetering zien.

Conclusie

Globaal genomen is het aandeel ondertekende domeinnamen voor de onderzochte sectoren over de afgelopen twee jaar sterk gegroeid. Daarmee loopt de ontwikkeling in die segmenten waarvoor wij menen dat DNSSEC belangrijk is parallel aan de bredere trend.

Zowel deze als de vorige meting laat wel grote verschillen zien tussen de verschillende sectoren. In het algemeen doen kleinere bedrijven, die meestal hun site met alles erop en eraan bij een dienstverlener afnemen, het (automatisch) veel beter dan de grote ondernemingen.

Duidelijke uitzonderingen, in tegenovergestelde zin, zijn de overheden en de banken. Overheidsorganisaties zitten inmiddels met een aandeel van 52% ondertekende domeinnamen boven in de ranglijst. De banken daarentegen zijn als enige volledig stil blijven staan. Een enkele uitzondering daargelaten wordt DNSSEC door deze bedrijven simpelweg niet ingezet om hun domeinnamen te beveiligen.

Ook de uitkomsten voor de internet en telecom-sector zijn teleurstellend. Waar de IAP's en ISP's nu meedoen in de middenmoot, scoren mobiele telecom-aanbieders en de ondernemingen verantwoordelijk voor de datatransport-backbone ronduit slecht.

Deze laatste constateringen zijn wat ons betreft reden tot zorg. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC bescherming tegen kan bieden.

De slechte score van de ondernemingen verantwoordelijk voor de infrastructuur-onderdelen van het Nederlandse internet en de verbindingen met de rest van de wereld tenslotte staat in schril contrast met de positionering van het Nederlandse internet als de derde mainport naast Schiphol en de Rotterdamse haven.

Reacties

  • dinsdag 16 juli 2019

    Over SIDN

    SIDN Jaarverslag 2018: hard gewerkt aan het realiseren van onze missie

    jv 2018 520x520

    Lees ons online jaarverslag

    Lees meer
  • dinsdag 19 juni 2018

    Veilig internet

    Pas op voor malafide bedrijven die jou peperdure domeinnamen aansmeren

    Thumb-fingers-crossed

    Ons advies: laat je niet onder druk zetten

    Lees meer
  • vrijdag 1 december 2017

    Veilig internet

    Cybercriminelen haalden bijna $500.000 per dag aan advertentiegeld binnen

    Thumb-hacker-enters-the-computer

    Men maakte gebruik van domeinnamen die lijken op namen van grote merken

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.