DNSSEC
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- DNSSEC
- ID
DNSSEC
- Type
- Versie
- RFC 4033, RFC4034, RFC4035
- Wijzigingsdatum
- Laag Vijflaagsmodel
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: DNSSEC
Domeinnaambeveiliging
DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op.
DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd. Verplichte standaard bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.
Conformiteitstest:Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyser (Verisign). Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?") geïntegreerd in internet.nl.
- Nut: Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.
- Werking: Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
- Organisatorisch werkingsgebied: Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Meer informatie
- https://www.forumstandaardisatie.nl/standaard/dnssec, https://www.dnssec.nl/home.html
- https://datatracker.ietf.org/doc/rfc4033, https://datatracker.ietf.org/doc/rfc4034, https://datatracker.ietf.org/doc/rfc4035, https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-beveilig-verbindingen-van-mailserversSpecificatiedocumenten:
- RFC 2132
- RFC 4034
- RFC 4035
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | De website www.kadaster.nl ondersteunt DNSSEC (zie: https://internet.nl/domain/www.kadaster.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRO (Basisregistratie Ondergrond) | Toegepast door alle hostingpartijen die BRO systemen hosten. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRV (Basisregistratie Voertuigen) | De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. RDW en andere overheidspartijen hebben bij Microsoft gevraagd om dit op te lossen. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Berichtenbox voor bedrijven | Volgens internet.nl voldoet het domein berichtenbox.antwoordvoorbedrijven.nl (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiD | DNSSEC is doorgevoerd in de domeinen (DNS-zones) van DigiD en operationeel. Ook de mailservers voldoen aan de standaard (zie: https://internet.nl/site/digid.nl/ en https://internet.nl/mail/digid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiD Machtigen | Het domein https://machtigen.digid.nl voldoet aan DNSSEC (zie: https://internet.nl/site/machtigen.digid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiInkoop | DigiInkoop voldoet aan DNSSEC (zie: https://internet.nl/mail/digiinkoop.nl/). DigiInkoop.nl ontvangt geen mail. Het DNS mx record mta.dc.ordina.nl is ook niet meer van toepassing. Dus alle verwijzingen hiernaar (die internet.nl gebruikt) kunnen buiten beschouwing worden gelaten. De DNS record zal verwijderd worden. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Digilevering | DNSSEC is geïmplementeerd op de centrale voorziening DNS. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Digimelding | DNSSEC is geïmplementeerd. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Diginetwerk | DNSSEC valt voor het besloten netwerk buiten het afsprakenstelsel. Een aantal deelnemers maakt echter gebruik van de diginetwerk domeinnamen om ook op het openbare internet hun dienst ter beschikking te stellen. Hiervoor is besloten wel gebruik te maken van DNSSEC. Gepland voor 2020. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Digipoort | Implementatie van DNSSEC zou plaatsvinden in Q1 2019 en is nu deels aanwezig en wordt deels ingepland voor Q3 2019. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | DNSSEC werd in 2015 in de productieomgeving opgenomen. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| HR (Basisregistratie Handelsregister) | Kvk,nl is DNSSEC beveiligd. De Microsoft Exchange 365 cloud omgeving niet. Volgens planning van Microsoft wordt DNSSEC eind 2021 ondersteund. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| MijnOverheid | MijnOverheid voldoet aan DNSSEC (zie: https://internet.nl/site/mijnoverheid.nl/ en https://internet.nl/site/mijn.overheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Ondernemersplein | Ondernemersplein voldoet aan DNSSEC voor de website. Er wordt niet gemaild vanuit mail subdomein maar van kvk.nl. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijksoverheid.nl e-mail | Rijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/mail/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen (zie: https://internet.nl/mail/rijksoverheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Standard Business Reporting (SBR) | De website van SBR (http://www.sbr-nl.nl) Voldoet zowel op het web als het maildomein aan DNSSEC. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Stelselcatalogus | DNSSEC is geïmplementeerd op de centrale voorziening DNS (zie: https://internet.nl/site/www.stelselcatalogus.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Website RDW.nl | De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. RDW en andere overheidspartijen hebben bij Microsoft gevraagd om dit op te lossen. | voldoet deels | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DWR (Digitale Werkomgeving Rijksdienst) | DNSSEC is geïmplementeerd en alle domeinnamen die bij SSC-ICT gehost worden voldoen aan DNSSEC. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| ODC-Noord | ODC-Noord heeft sinds het onderzoek uit 2015 een eigen DNS ingericht, die DNSSEC gebruikt. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Overheid.nl | Overheid.nl voldoet sinds Q2 2015 aan DNSSEC (zie: https://internet.nl/site/www.overheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| P-Direkt | Op de Haagse ring maakt het netwerk van SSC-ICT, waar P-Direkt gebruik van maakt, geen gebruik van DNSSEC.
Ook hier geldt dat P-Direkt een afnemer is van een Rijksbrede dienstverlening en het initiatief voor het implementeren van DNSSEC bij de SSC-ICT ligt. DNSSEC is nog niet geïmplementeerd binnen SSC-ICT en dus ook niet op het P-Direkt Self Service portaal. Op de externe website www.p-direkt.nl is DNSSEC wel geïmplementeerd. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| PDOK | De website www.pdok.nl ondersteunt DNSSEC (zie: https://internet.nl/domain/www.pdok.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| PKIoverheid | Het PKIoverheid-deel van de website van Logius en de website van PKIoverheid maken gebruik van DNSSEC (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijksoverheid.nl | Rijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/site/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijkspas | Rijkspas communiceert momenteel nog niet via het publieke internet. De verbinding die daarvoor voorzien is, maakt wel gebruik van DNSSEC.
Voor communicatie binnen de Rijksoverheid wordt momenteel gebruik gemaakt van de Haagse Ring. Deze ondersteunt nog geen DNSSEC. De planning van 2017 is niet gehaald en is afhankelijk van de verhuizing naar het nieuwe data center. De verhuizing stond gepland voor Q1 2019 en staat nu gepland voor Q3 2019. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Rijksportaal | Bij transitie Rijksportaal wordt deze bouwsteen opnieuw ingebracht. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| TenderNed | Het domein is gesigned met DNSSEC (zie: https://internet.nl/site/www.tenderned.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |