Naar de inhoud Naar de navigatie

DNSSEC


Standaarden
Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit))
Naam
DNSSEC
ID

DNSSEC

Type

Standaard

Versie
RFC 4033, RFC4034, RFC4035
Wijzigingsdatum
Laag Vijflaagsmodel

Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: DNSSEC


DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op.

DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.

Verplichte standaard bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.

Conformiteitstest:Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyser (Verisign). Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?") geïntegreerd in internet.nl.
  • Nut: Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verstuurde e-mails omleidt naar een eigen mailserver of gebruikers misleidt naar een frauduleuze website.
  • Werking: Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-informatie. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden.


Waar toepasbaar

  • Functioneel toepassingsgebied: DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.
  • Organisatorisch werkingsgebied: Overheden en instellingen uit de (semi-) publieke sector

Meer informatie

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BGT (Basisregistratie Grootschalige Topografie)
BRK (Basisregistratie Kadaster)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BAG (Basisregistratie Adressen en Gebouwen)
BRT (Basisregistratie Topografie)		voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
BGT (Basisregistratie Grootschalige Topografie)
BRK (Basisregistratie Kadaster)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BAG (Basisregistratie Adressen en Gebouwen)		De website www.kadaster.nl ondersteunt DNSSEC (zie: https://internet.nl/domain/www.kadaster.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
BRV (Basisregistratie Voertuigen)voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Berichtenbox voor bedrijvenGevalideerdvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DigiDDNSSEC is doorgevoerd in de domeinen (DNS-zone) van DigiD en operationeel. Ook de mailservers voldoen aan de standaardvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DigiD MachtigenHet domein machtigen.digid.nl voldoet aan DNSSEC.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DigiInkoopDigiInkoop voldoet aan DNSSEC (zie: https://internet.nl/mail/digiinkoop.nl/).voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Digileveringvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DigimeldingVoldoetvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DiginetwerkDe RijksDNS ondersteunt DNSSEC. De (Rijks)overheid organisaties die gebruikmaken van Diginetwerk zijn zelf verantwoordelijk voor de inrichting en gebruik van DNSSEC.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DigipoortDigiPoort is DNSSEC-compliant, zie bron.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
HR (Basisregistratie Handelsregister)Het feit dat één mailserverdomein onveilig is, omdat deze niet ondertekend is met DNSSEC, wordt veroorzaakt door dat dit een Microsoft mailserver betreft. Microsoft ondersteunt DNSSEC al wel voor outbound emailverkeer maar nog niet voor inbound. Deze functionaliteit komt wel binnenkort beschikbaar maar de uitrol is vertraagd. Zie update van Microsoft van april 2024: We regretfully must delay the public preview for Inbound SMTP DANE with DNSSEC from March to May 2024 due to necessary security investments that were identified as part of a Private Preview. This extension allows us the opportunity to further enhance our service’s security measures, ensuring we meet the highest standards for our users. We appreciate your understanding and patience as we make these improvements.geplandvan toepassingMonitor Open Standaarden 202429 januari 2025
MijnOverheidMijnOverheid voldoet aan DNSSEC.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
OndernemerspleinDat een mailserverdomein onveilig is, door het ontbreken van DNSSEC-ondertekening, is bekend en dit wordt naar verwachting in Q3 2024 opgepakt.geplandvan toepassingMonitor Open Standaarden 202429 januari 2025
Rijksoverheid.nl e-mailRijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/mail/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen (zie: https://internet.nl/mail/rijksoverheid.nl/).voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Samenwerkende catalogivoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Standard Business Reporting (SBR)De website van SBR (http://www.sbr-nl.nl) Voldoet zowel op het web als het maildomein aan DNSSEC.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Stelselcatalogusvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
WOZ WaardeloketWOZ-Waardeloket is DNSSEC-compliant.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Website RDW.nlDe niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. Inmiddels is Microsoft bezig om hier invulling aan te geven: Microsoft 365 Roadmap.voldoet deelsvan toepassingMonitor Open Standaarden 202218 november 2022
Beheervoorziening BSN
BRP-V (BRP Verstrekkingsvoorziening)		De Beheervoorziening BSN en de BRP-V zijn DNSSEC-compliant.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Doc-Direktvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
DWR (Digitale Werkomgeving Rijksdienst)DNSSEC is geïmplementeerd en alle domeinnamen die bij SSC-ICT in het ODC gehost worden voldoen aan DNSSEC. DNSSEC is echter nog niet beschikbaar bij al de cloudleveranciers; hier kan DNSSEC dus nog niet geïmplementeerd worden.voldoet deelsvan toepassingMonitor Open Standaarden 202429 januari 2025
ODC-NoordODC-Noord heeft sinds het onderzoek uit 2015 een eigen DNS ingericht, die DNSSEC gebruikt.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
P-DirektOp de Haagse ring maakt het netwerk van SSC-ICT, waar P-Direkt gebruik van maakt, geen gebruik van DNSSEC.

Ook hier geldt dat P-Direkt een afnemer is van een Rijksbrede dienstverlening en het initiatief voor het implementeren van DNSSEC bij de SSC-ICT ligt. DNSSEC is nog niet geïmplementeerd binnen SSC-ICT en dus ook niet op het P-Direkt Self Service portaal.

Op de externe website www.p-direkt.nl is DNSSEC wel geïmplementeerd.		voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
PDOKPDOK is DNSSEC-compliant.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
PKIoverheidPKIoverheid maakt gebruik van DNSSEC.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
Rijksoverheid.nlvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
RijkspasRijkspas communiceert momenteel nog niet via het publieke internet. De verbinding die daarvoor voorzien is, maakt wel gebruik van DNSSEC.

Voor communicatie binnen de Rijksoverheid wordt momenteel gebruik gemaakt van de Haagse Ring. Deze ondersteunt nog geen DNSSEC. De planning van 2017 is niet gehaald en is afhankelijk van de verhuizing naar het nieuwe data center.

De verhuizing stond gepland voor Q1 2019 en staat nu gepland voor Q3 2019.		geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
RijksportaalRFC4033, RFC4034 en RFC4035 zijn toegepast.voldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
TenderNedvoldoetvan toepassingMonitor Open Standaarden 202429 januari 2025
... meer resultaten
Toelichting: Bouwstenen en gebruikte standaarden

De betekenis die mensen geven aan gegevens in een context.

Ga naar de pagina met de definitie van 'informatie'

Een vastgelegde waarneming of bewering over een eigenschap van een object.

Ga naar de pagina met de definitie van 'gegeven'

Vaststaand, erkend voorbeeld of model.

Ga naar de pagina met de definitie van 'standaard'

Samenhangend geheel van dingen in de werkelijkheid.

Ga naar de pagina met de definitie van 'domein'

De functioneel inhoudelijke afbakening van bepaalde artefacten.

Ga naar de pagina met de definitie van 'toepassingsgebied'

De geografische of organisatorische afbakening waarin iets uitwerking heeft. 

Ga naar de pagina met de definitie van 'werkingsgebied'

Een entiteit die iets afneemt van een andere entiteit.

Ga naar de pagina met de definitie van 'afnemer'
Overgenomen van "https://www.noraonline.nl/index.php?title=DNSSEC&oldid=53050"