FS:DNSSEC

Uit NORA Online
Ga naar: navigatie, zoeken
Deze gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/DNSSEC
Over de standaard
Beschrijving Domeinnaam-beveiliging
Lijst status Verplicht (pas toe leg uit)
Uitleg
Nut DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. DNS Security Extensions (DNSSEC) lost dit op.
Werking Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl
Waarvoor geldt de verplichting Bij het investeren in ICT-systemen die gebruik maken van domeinnamen, en systemen die gebruik maken van DNS resolvers.
TrefwoordenBeveiliging, Website
Detailinformatie
BeheerorganisatieIETF
Uitstekend beheer
Specificatiedocumenthttps://datatracker.ietf.org/doc/rfc4033, https://datatracker.ietf.org/doc/rfc4034, https://datatracker.ietf.org/doc/rfc4035
Volledige naamDomain Name System Security Extensions
VersionRFC 4033, RFC4034, RFC4035
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest Signing ("Is een domein beveiligd met DNSSEC?"): DNSSEC Analyzer (Verisign)Validation ("Controleert mijn provider de validiteit van de DNSSEC-handtekening?"):DNSSEC Test (SIDN)
DomeinInternet & Beveiliging
Relatie met andere standaarden
ToelichtingDNS: DNSSEC zorgt voor beveiliging van DNS.

DKIM: Zie onder DKIM.

PKIoverheid en TLS: DNSSEC werkt aanvullend aan PKI(overheid) en TLS. Deze laatste standaarden zorgen voor integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen van gegevensuitwisseling met een bepaalde domeinnaam, maar kunnen niet garanderen dat met het correcte IP-adres wordt gecommuniceerd. DNSSEC kan dat wel.
Toetsingsinformatie
HulpmiddelenDKIM.nl Phishing Scorecard Wikipedia over DKIM Let op: Voor veilige toepassing van DKIM is het van belang om sleutels van tenminste 1024 bits te gebruiken, zoals de standaard ook voorschrijft. Voor meer informatie zie het advies van US-CERT d.d. 24 oktober 2012.

Whitepaper "Deploying DNSSEC - Validation", SURFnet (2012)
Cursus DNSSEC (SIDN)
DNSSEC Workshop - NLnet Labs

Rijksoverheden moeten hun domeinnamen onderbrengen bij de Rijks-registrar, DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Publiek en Communicatie van het Ministerie van Algemene Zaken. Deze biedt ondersteuning voor DNSSEC en IPv6. (Zie informatie op Rijksportaal )
Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening DNSSEC moet worden toegepast op alle overheidsdomeinnamen én op DNS-resolvers die clients van overheidsorganisaties direct of indirect van DNS-antwoorden voorzien.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.
 
Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. Overheden en instellingen uit de (semi-) publieke sector
Toelichting bij opname In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard DNSSEC aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document.
Datum van aanmelding26-11-2011
Datum van besluit15-06-2012
Europese status (MSP)Ja
Documentatiehttps://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_3.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_7.pdf
Forum-Adviezen
Advies aan beheerder
AdoptieadviezenBij de opname op de "pas toe of leg uit"-lijst heeft het College Standaardisatie een oproep gedaan aan: het “DNSSEC.nl platform” en het Nationaal Cyber Security Centrum (NCSC) om gezamenlijk een handreiking te ontwikkelen voor overheidsorganisaties ter ondersteuning van de invoering en het beheer van DNSSEC. Status: In uitvoering het NCSC om in de “ICT-Beveiligingsrichtlijnen voor webapplicaties” uitgebreider stil te staan bij DNSSEC en een heldere richtlijn voor het gebruik van DNSSEC op te stellen.  Status: In contact de verantwoordelijke ministeries om hun domeinen z.s.m., conform het besluit van het ICBR, door de DienstEen afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de afnemers). Publiek en Communicatie van Min. AZ te laten registeren en beheren.  Hiermee is ondersteuning van DNSSEC voor die domeinen gegarandeerd en is bovendien het beheer van Rijksdomeinen in handen van een centrale gespecialiseerde partij. Status: In uitvoering.
Leveranciers