DNSSEC bij de overheid: de stand van zaken

Domeinnamen gebruiken wij allemaal en daarmee ook het Domain Name System (DNS) waar alle domeinnamen wereldwijd gebruik van maken. Het DNS wordt gebruikt om domeinnamen van computers te vertalen naar IP-adressen en internetgebruikers zo naar de bijbehorende website te verwijzen. In andere woorden: wanneer je op jouw laptop belastingdienst.nl intikt, zorgt het DNS ervoor dat je naar de site van de Belastingdienst wordt geleid. Het is een systeem dat op de achtergrond zijn werk doet waar de gemiddelde internetgebruiker zich zelden bewust van is.

Helaas is het DNS niet onfeilbaar. Het is mogelijk bezoekers om te leiden naar malafide sites door het IP-adres dat bij een domeinnaam hoort te vervalsen. Dit is mogelijk, omdat in traditioneel DNS een antwoord dat in orde lijkt wordt geaccepteerd, zonder het daadwerkelijk op echtheid te controleren. Om deze kwetsbaarheid te verhelpen is al eind jaren ‘90 een protocol ontwikkeld om DNS te beveiligen. Dit protocol staat bekend als Domain Name System Security Extensions, oftewel DNSSEC.

DNSSEC voorkomt dat kwaadwillenden ongemerkt verkeer om kunnen leiden door DNS-informatie met een code te beveiligen. Met DNSSEC controleert jouw computer via een digitale handtekening of het DNS-antwoord juist is en het IP-adres voor belastingdienst.nl inderdaad van de Belastingdienst is. Op die manier is het omleiden van nietsvermoedende gebruikers via het DNS onmogelijk.

Ook andere beveiligingsfunctionaliteit werkt beter met DNSSEC. Een goed voorbeeld is e-mail. Sinds enige tijd zijn er standaarden waarmee de herkomst van e-mails geverifieerd kan worden. Een ervan (DKIM) staat ook op de pas-toe-leg-uit-lijst. Wanneer de zone waarvandaan e-mail verzonden wordt, met DNSSEC beveiligd is, is de authenticiteit van betreffende e-mails betrouwbaarder te verifiëren.

Kortom: DNSSEC is een protocol dat iedereen zou moeten gebruiken dus, vindt SIDN en velen met ons. Helaas blijkt de praktijk weerbarstig.

Nederland koploper

Hoewel de grondslagen voor DNSSEC al eind jaren ‘90 zijn gelegd, duurde het nog tien jaar voor het protocol wereldwijd van de grond kwam. De voornaamste aanleiding hiervoor was de ontdekking van Dan Kaminsky, een Amerikaanse security-expert, van een aantal kwetsbaarheden in het DNS waartegen DNSSEC bescherming biedt. Medio 2012 werd het beveiligen van domeinnamen met DNSSEC voor .nl-domeinnamen mogelijk. Dankzij een gezamenlijke inspanning van Nederlandse hosting providers en registrars van domeinnamen en SIDN, behoort Nederland nu tot de koplopers op DNSSEC-gebied.

In 2012 nam ook de overheid een belangrijke stap ten aanzien van DNSSEC. In mei kwam het protocol op de zogenaamde pas-toe-of-leg-uit-lijst van de overheid (samen met o.a. IPv6). Dat wil zeggen: overheden zijn sinds dat moment verplicht om voor hun eigen websites DNSSEC toe te passen of uit te leggen waarom ze dat niet doen. Een goede stap die ook internationaal waardering oogstte en navolging heeft gekregen op EU-niveau.

Overheid blijft achter

Inmiddels zijn vier jaar verstreken. 2,5 miljoen .nl-domeinnamen zijn met DNSSEC beveiligd. Een goed moment om de balans op te maken voor wat DNSSEC en de overheid betreft. Helaas is de conclusie dat de goede stap die de overheid in 2012 zette nog onvoldoende navolging heeft gekregen: van de 23 grootste overheidssites zijn er maar tien beveiligd met DNSSEC. Een lijn lijkt daarbij niet zichtbaar: rijksoverheid.nl is gesignd, politie.nl niet.

De vraag is waarom? Een domeinnaam beveiligen met DNSSEC is inmiddels gemeengoed geworden. Problemen met DNSSEC door foutmeldingen of storingen komen vrijwel niet voor. Bovendien is DNSSEC instrumenteel om adoptie van andere standaarden op het gebied van veiligheid, zoals DKIM, te bevorderen.

Het internet veiliger maken is een gezamenlijke verantwoordelijkheid, en overheden kunnen hierin een voorbeeldfunctie vervullen. Door open standaarden te adopteren en actief toe te passen, stimuleert de overheid andere partijen dit ook te doen lager. Op die manier komt een veiliger internet in Nederland snel dichterbij.

Heb jij DNSSEC? Kijk op internet.nl

Wil je weten of jouw website beveiligd is met DNSSEC? Doe dan de test op internet.nl. Blijkt jouw website niet beveiligd te zijn, vraag je hostingprovider dan dit voor je te doen.

Gesigneerde en ongesigneerde domeinnamen bij de overheid

Domeinnaam Secure?
belastingdienst.nl insecure
knmi.nl insecure
rijksoverheid.nl secure
politie.nl insecure
tno.nl secure
overheid.nl secure
uwv.nl insecure
kvk.nl insecure
cbs.nl secure
rechtspraak.nl secure
rdw.nl insecure
duo.nl insecure
rivm.nl insecure
svb.nl insecure
rijkswaterstaat.nl secure
cbr.nl insecure
higherlevel.nl secure
ondernemersplein.nl insecure
werkenbijdefensie.nl secure
consuwijzer insecure
vananaarbeter.nl secure
crisis.nl secure
rijschoolgegevens.nl insecure

Reacties

Michiel_Hennekes

Michiel Henneke

Marketingmanager

+31 26 352 55 00

michiel.henneke@sidn.nl

  • vrijdag 1 december 2017

    Veilig internet

    Cybercriminelen haalden bijna $500.000 per dag aan advertentiegeld binnen

    Thumb-hacker-enters-the-computer

    Men maakte gebruik van domeinnamen die lijken op namen van grote merken

    Lees meer
  • woensdag 17 april 2019

    DNSSEC

    Installatie trust anchor voor nieuwe root KSK

    Thumb-secure

    Voorkom dat domeinnamen onbereikbaar worden

    Lees meer
  • woensdag 28 november 2018

    Veilig internet

    Waarom zou je meer data delen dan noodzakelijk is?

    Thumb-privacy-on-digital-background

    Privacy by Design en SIDN bundelen krachten

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.