DNSSEC

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: DNSSEC
ID: DNSSEC
Type: StandaardVersie: RFC 4033, RFC4034, RFC4035
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl
Domeinnaam-beveiliging


DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op.

DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.

Verplichte standaard bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.

Conformiteitstest:Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyser (Verisign). Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?") geïntegreerd in internet.nl.

  • Nut: DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.


Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden en instellingen uit de (semi-) publieke sector
  • Waarvoor geldt de verplichting: Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.

Meer informatie

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
De website www.kadaster.nl ondersteunt DNSSEC (zie https://internet.nl/domain/www.kadaster.nl/87074)voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BRV (Basisregistratie Voertuigen)De niet-gevoelige (technische) gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd uit de BRV zijn te bevragen via www.rdw.nl. Die site is volgens internet.nl gesigned met DNSSEC. Alle .nl rdw domeinen zijn gesigned met DNSSEC. Alle overige domeinen (.eu, .info, .com) staan binnen het programma RIT op de planning voor eind 2017, maar maken geen deel uit van de BRV.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Berichtenbox voor bedrijvenVolgens internet.nl voldoet het domein berichtenbox.antwoordvoorbedrijven.nl (zie https://internet.nl/mail/berichtenbox.antwoordvoorbedrijven.nl/34865).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiDDNSSEC is doorgevoerd in release 4.5 van DigiD en inmiddels operationeel. Ook de mailservers voldoen aan de standaard (zie https://internet.nl/domain/digid.nl/87081).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiD MachtigenVolgens internet.nl voldoet het domein https://machtigen.digid.nl aan DNSSEC (zie https://internet.nl/site/machtigen.digid.nl/91888).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiInkoopDigi-Inkoop voldoet aan DNSSEC (zie https://internet.nl/mail/digiinkoop.nl/36515).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigileveringDNSSEC is geïmplementeerd op de centrale voorziening DNS. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigimeldingDNSSEC is geïmplementeerd op de centrale voorziening DNS. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
  • voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    DiginetwerkDNSSEC validatie wordt toegepast op Rijks-DNS.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    DigipoortHoewel DigiPoort werkt met PKI certificaten ter authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., zou DNSSEC ook ingericht moeten zijn. Er zijn geen plannen om dit in te richten, omdat de voorziening geen businesscase hiervoor ziet omdat het risico nihil is.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    MijnOverheidMijnOverheid voldoet aan DNSSEC (conform https://internet.nl)voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    NHR (Basisregistratie Handelsregister)DNSSEC wordt nog niet toegepast (zie https://internet.nl/site/www.kvk.nl/87180). De planning voor implementatie van de DNSSEC is Q4 2017.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    OndernemerspleinWordt geïmplementeerd dit jaar op de nieuwe DNS omgeving.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Standard Business Reporting (SBR)De website van SBR (http://www.sbr-nl.nl) is ondergebracht bij een derde partij. Ook het technisch DNS-beheer is daar ondergebracht, maar nog niet alle domeinen maken gebruik van DNSSEC.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Stelsel Elektronische ToegangsdienstenDNSSEC werd in 2015 in de productieomgeving opgenomen.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    StelselcatalogusDNSSEC is geïmplementeerd op de centrale voorziening DNS (zie https://internet.nl/site/www.stelselcatalogus.nl/92837).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    DWR (Digitale Werkomgeving Rijksdienst)De domeinen van de klanten van SSC-ICT die via de DNS van AZ lopen, voldoen. De domeinen van de klanten van SSC-ICT die via de DNS van SSC-ICT lopen, voldoen eind 2017. SSC-ICT geeft aan dat de cliënt DNSSEC-validatie ondersteunt, en dat RijksDNS DNSSEC-validatie ondersteunt.voldoet deelsvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    ODC-NoordODC-Noord heeft sinds het onderzoek uit 2015 een eigen DNS ingericht, die DNSSEC gebruikt.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Overheid.nlOverheid.nl voldoet sinds Q2 2015 aan DNSSEC (zie https://internet.nl/domain/www.overheid.nl/87086).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    P-DirektOp de Haagse ring maakt het netwerk van SSC-ICT, waar P-Direkt gebruik van maakt, geen gebruik van DNSSEC. Ook hier geldt dat P-Direkt een afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. is van een Rijksbrede dienst en het initiatief voor het implementeren van DNSSEC bij de SSC-ICT ligt. SSC-ICT gaf in 2016 aan dat zij op hun beurt weer afhankelijk zijn van de leverancier van de Haagse ring, namelijk Logius.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    PKIoverheidHet PKIoverheid-deel van de website van Logius en de website van PKIoverheid maken gebruik van DNSSEC (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Rijksoverheid.nlRijksoverheid.nl is ondertekend met DNSSEC (zie https://internet.nl/site/www.rijksoverheid.nl/86909). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    RijkspasRijkspas communiceert momenteel nog niet via het publieke internet. De verbinding die daarvoor voorzien is, maakt wel gebruik van DNSSEC. Voor communicatie binnen de Rijksoverheid wordt momenteel gebruik gemaakt van de Haagse Ring. Deze ondersteunt nog geen DNSSEC, maar de leverancier geeft aan dat de verwachting is DNSSEC eind 2017 wel geïmplementeerd gaat worden.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    TenderNedHet domein is gesigned met DNSSEC (zie https://internet.nl/site/www.tenderned.nl/86922).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Toelichting: Bouwstenen en gebruikte standaarden