DNSSEC

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: DNSSEC
ID: DNSSEC
Type: Standaard
Versie: RFC 4033, RFC4034, RFC4035
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl
Domeinnaam-beveiliging


DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op.

DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd.

Verplichte standaard bij het investeren in ICT-systemen die gebruik maken van een DNS, zoals een website.

Conformiteitstest:Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyser (Verisign). Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?") geïntegreerd in internet.nl.

  • Nut: DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.



Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden en instellingen uit de (semi-) publieke sector
  • Waarvoor geldt de verplichting: Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.

Meer informatie

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
De website www.kadaster.nl ondersteunt DNSSEC (zie: https://internet.nl/domain/www.kadaster.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)Toegepast door alle hostingpartijen die BRO systemen hosten.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)De niet-gevoelige (technische) gegevens uit de BRV zijn te bevragen via www.rdw.nl. Alle .nl rdw domeinen zijn gesigned met DNSSEC. De diensten op (voertuig)gegevens draaien als microservices in de Azure cloud en het is bekend dat hierop geen DNSSEC en daarmee ook DANE mogelijk is. RDW en andere overheidspartijen hebben bij Microsoft gevraagd om dit op te lossen.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenVolgens internet.nl voldoet het domein berichtenbox.antwoordvoorbedrijven.nl (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiDDNSSEC is doorgevoerd in de domeinen (DNS-zones) van DigiD en operationeel. Ook de mailservers voldoen aan de standaard (zie: https://internet.nl/site/digid.nl/ en https://internet.nl/mail/digid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiD MachtigenHet domein https://machtigen.digid.nl voldoet aan DNSSEC (zie: https://internet.nl/site/machtigen.digid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiInkoopDigiInkoop voldoet aan DNSSEC (zie: https://internet.nl/mail/digiinkoop.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigileveringDNSSEC is geïmplementeerd op de centrale voorziening DNS. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigimeldingDNSSEC is geïmplementeerd. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DiginetwerkDNSSEC valt voor het besloten netwerk buiten het afsprakenstelsel. Een aantal deelnemers maakt echter gebruik van de diginetwerk domeinnamen om ook op het openbare internet hun dienst ter beschikking te stellen. Hiervoor is besloten wel gebruik te maken van DNSSEC. Gepland voor 2020.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
DigipoortImplementatie van DNSSEC zou plaatsvinden in Q1 2019 en is nu deels aanwezig en wordt deels ingepland voor Q3 2019.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
MijnOverheidMijnOverheid voldoet aan DNSSEC (zie: https://internet.nl/site/mijnoverheid.nl/ en https://internet.nl/site/mijn.overheid.nl/)voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
NHR (Basisregistratie Handelsregister)De ondertekening in de emailomgeving van kvk.nl vindt momenteel niet goed plaats. Dit wordt z.s.m. hersteld, in ieder geval in 2019. Er is samenhang met de HSTS melding hierna vanwege afspraken met de provider van kvk.nl.zie: https://en.internet.nl/site/kvk.nl/).voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
OndernemerspleinDe standaard is geïmplementeerd op de nieuwe DNS omgeving voor de webdomeinen en voor het maildomein ondernemersplein.kvk.nl. Voor de mailserverdomeinen kvk.nl en ondernemersplein.nl geldt dat DNSSEC niet is geïmplementeerd (zie: https://internet.nl/mail/kvk.nl/249076/# en https://internet.nl/mail/ondernemersplein.nl/249075/#). Ondernemersplein maakt geen gebruik van ondernemersplein.kvk.nl als mail adres. Alle mailadressen die worden gebruikt zijn @ondernemersplein.nl of @kvk.nl, waar DMARC, DKIM, SPF en STARTTTLS wel geïmplementeerd zijn. Desondanks is het verzoek wel neergelegd bij IT beheer om dit op te lossen. Naar verwachting gebeurt dit niet op korte termijn.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Standard Business Reporting (SBR)De website van SBR (http://www.sbr-nl.nl) Voldoet zowel op het web als het maildomein aan DNSSEC.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
StelselcatalogusDNSSEC is geïmplementeerd op de centrale voorziening DNS (zie: https://internet.nl/site/www.stelselcatalogus.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)DNSSEC is geïmplementeerd en alle domeinnamen die bij SSC-ICT gehost worden voldoen aan DNSSEC.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordODC-Noord heeft sinds het onderzoek uit 2015 een eigen DNS ingericht, die DNSSEC gebruikt.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlOverheid.nl voldoet sinds Q2 2015 aan DNSSEC (zie: https://internet.nl/site/www.overheid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
P-DirektOp de Haagse ring maakt het netwerk van SSC-ICT, waar P-Direkt gebruik van maakt, geen gebruik van DNSSEC.

Ook hier geldt dat P-Direkt een afnemerDe persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn. is van een Rijksbrede dienstverlening en het initiatief voor het implementeren van DNSSEC bij de SSC-ICT ligt. DNSSEC is nog niet geïmplementeerd binnen SSC-ICT en dus ook niet op het P-Direkt Self Service portaal.

Op de externe website www.p-direkt.nl is DNSSEC wel geïmplementeerd.
voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
PKIoverheidHet PKIoverheid-deel van de website van Logius en de website van PKIoverheid maken gebruik van DNSSEC (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Rijksoverheid.nlRijksoverheid.nl is ondertekend met DNSSEC (zie: https://internet.nl/site/www.rijksoverheid.nl/). DPC biedt DNSSEC ook aan al haar klanten die domeinen via haar registrar-functie afnemen. voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
RijkspasRijkspas communiceert momenteel nog niet via het publieke internet. De verbinding die daarvoor voorzien is, maakt wel gebruik van DNSSEC.

Voor communicatie binnen de Rijksoverheid wordt momenteel gebruik gemaakt van de Haagse Ring. Deze ondersteunt nog geen DNSSEC. De planning van 2017 is niet gehaald en is afhankelijk van de verhuizing naar het nieuwe data center.

De verhuizing stond gepland voor Q1 2019 en staat nu gepland voor Q3 2019.
geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
RijksportaalBij transitie Rijksportaal wordt deze bouwsteen opnieuw ingebracht.voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedHet domein is gesigned met DNSSEC (zie: https://internet.nl/site/www.tenderned.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Toelichting: Bouwstenen en gebruikte standaarden