FS:Dnssec: verschil tussen versies

Uit NORA Online
FS:Dnssec
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '{{FS-standaard' door '<!--TS:20180928000000-->{{FS-standaard')
Geen bewerkingssamenvatting
 
(9 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
<!--TS:20180928000000-->{{FS-standaard
{{#element:
|Naam=DNSSEC
|Elementtype=FS-Standaard
|Omschrijving=Domeinnaam-beveiliging
|Concept-pagina FS=Nee
|Lijst=Verplicht (pas toe leg uit)
|Titel=DNSSEC
|Nut=DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.
|Introductie=Als iemand een link intypt in een webbrowser, zoekt het Domain Name System (DNS) achter de schermen naar het bijbehorende IP-adres. De eigenaar van dat adres kan DNSSEC instellen. Dat is een handtekening, waarmee gecontroleerd kan worden of het opgehaalde IP-adres klopt. DNSSEC voorkomt dat de gebruiker stiekem wordt omgeleid en maakt internetten zo veiliger. Stel daarom altijd DNSSEC in voor uw domeinnamen.
 
|Status lijst Forum Standaardisatie=Verplicht (pas toe leg uit)
|Waarvoor geldt de verplichting=Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.
|Functioneel toepassingsgebied=DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
 
|Organisatorisch werkingsgebied=Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
|Trefwoorden=Beveiliging, Website
|Omschrijving=Domeinnaambeveiliging
|Beheerorganisatie=IETF
|Nut=Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.
|Specificatiedocument=https://datatracker.ietf.org/doc/rfc4033, https://datatracker.ietf.org/doc/rfc4034, https://datatracker.ietf.org/doc/rfc4035
|Werking=Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.
|Domein Forum Standaardisatie=Veilig internet
|Trefwoorden Forum Standaardisatie=Website, Informatiebeveiliging
|Community=* [http://www.internetsociety.org/deploy360/dnssec/ Internet Society]* [https://www.sidn.nl/dnssec SIDN]
|Toelichting bij opname lijst Forum Standaardisatie=Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] .
|Uitstekend beheer=Nee
|Datum van aanmelding lijst Forum Standaardisatie=2011-11-26
|Datum van besluit lijst Forum Standaardisatie=2012-06-15
|Volledige naam=Domain Name System Security Extensions
|Volledige naam=Domain Name System Security Extensions
|Versie=RFC 4033, RFC4034, RFC4035
|Versie=RFC 4033, RFC4034, RFC4035
|Hulpmiddelen=DKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.<br />
|Specificatiedocument=https://datatracker.ietf.org/doc/rfc4033 , https://datatracker.ietf.org/doc/rfc4034 , https://datatracker.ietf.org/doc/rfc4035 , https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-beveilig-verbindingen-van-mailservers
Whitepaper "Deploying DNSSEC - Validation", SURFnet (2012)<br />
|Beheerorganisatie=IETF
Cursus DNSSEC (SIDN)<br />
|Aanvullende verplichtingen=Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
DNSSEC Workshop - NLnet Labs<br />
|Adoptieadviezen=Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan: 
Rijksoverheden moeten hun domeinnamen onderbrengen bij de Rijks-registrar, Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en IPv6. (Zie informatie op Rijksportaal )
 
|Conformiteitstest=Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyzer (Verisign)Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?"):DNSSEC Test (SIDN)
 
|Toelichting=DNS: DNSSEC zorgt voor beveiliging van DNS.<br />
DKIM: Zie onder DKIM.<br />
PKIoverheid en TLS: DNSSEC werkt aanvullend aan PKI(overheid) en TLS. Deze laatste standaarden zorgen voor integriteit en vertrouwelijkheid van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
 
|Domein=Internet & Beveiliging
|Adoptieadviezen=Bij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering.
 
|Functioneel toepassingsgebied=DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.<br />
 
 
|Organisatorisch werkingsgebied=Overheden en instellingen uit de (semi-) publieke sector
 
|Toelichting bij opname=In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard DNSSEC aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document.


|Datum van aanmelding=26-11-2011
# Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. 
|Datum van besluit=15-06-2012
# Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  
|Documentatie=https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_3.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_7.pdf
# De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. 
|Europese status (MSP)=Ja
|Conformiteitstest=* [https://internet.nl/ Internet.nl]
* Signing ('Is een domein beveiligd met DNSSEC?'): [https://dnssec-analyzer.verisignlabs.com/ DNSSEC Analyzer] van Verisign
* [http://dnsviz.net/ DNSViz]
|Opgenomen op Europese lijst MSP=Ja
|Implementatiehulpmiddelen=* [https://www.dnsseccursus.nl/ Online cursus DNSSEC (]SIDN)
* Rijksoverheden moeten hun domeinnamen onderbrengen bij het [https://www.communicatierijk.nl/vakkennis/rijkswebsites/verplichte-richtlijnen/domeinnaambeleid Websiteregister Rijksoverheid], Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en Ipv6.
* [https://www.communicatierijk.nl/vakkennis/rijkswebsites/verplichte-richtlijnen/domeinnaambeleid Domeinnaambeleid Rijksoverheid]
* Praktijkverhaal: [[node/790|Internetdomeinen: tijd voor de grote schoonmaak]].
* Documentatie: [[node/880|Regie op internetdomeinen: lessen uit de praktijk]] od de [https://magazine.forumstandaardisatie.nl/regie-op-internetdomeinen/regie-op-internetdomeinen digitale versie] hiervan.
|Relatie met andere FS-standaarden=CAA (FS:caa), DKIM (FS:dkim), DMARC (FS:dmarc), SPF (FS:spf)
}}
}}

Huidige versie van 16 mei 2023 om 14:15

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Dnssec

Als iemand een link intypt in een webbrowser, zoekt het Domain Name System (DNS) achter de schermen naar het bijbehorende IP-adres. De eigenaar van dat adres kan DNSSEC instellen. Dat is een handtekening, waarmee gecontroleerd kan worden of het opgehaalde IP-adres klopt. DNSSEC voorkomt dat de gebruiker stiekem wordt omgeleid en maakt internetten zo veiliger. Stel daarom altijd DNSSEC in voor uw domeinnamen.
Over de standaard
Lijst status Verplicht (pas toe leg uit)
Beschrijving Domeinnaambeveiliging
Uitleg
Nut Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.
Werking Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.
Waarvoor geldt de verplichting
Aanvullende verplichtingen Voor DNSSEC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Trefwoorden Website, Informatiebeveiliging
Detailinformatie
Beheerorganisatie IETF
Uitstekend beheerNee
Specificatiedocument https://datatracker.ietf.org/doc/rfc4033 , https://datatracker.ietf.org/doc/rfc4034 , https://datatracker.ietf.org/doc/rfc4035 , https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-beveilig-verbindingen-van-mailservers
Volledige naam Domain Name System Security Extensions
Versie RFC 4033, RFC4034, RFC4035
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
Domein

Veilig internet

Relatie met andere standaarden
Toelichting
Toetsingsinformatie
Hulpmiddelen
Functioneel toepassingsgebied DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Toelichting bij opname Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis .
Datum van aanmelding 2011-11-26
Datum van besluit 2012-06-15
Europese status (MSP) Ja
Documentatie
    Forum-Adviezen
    Advies aan beheerder
    Adoptieadviezen

    Bij de opname op de 'Pas toe of leg uit'-lijst heeft het College Standaardisatie een oproep gedaan aan: 

    1. Het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. 
    2. Het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  
    3. De verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de Dienst Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. 
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

    Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

    De omschrijving van het functionele gebruik van de voorziening

    Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

    Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Dnssec&oldid=69059"