Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Adoptie DNSSEC sterk afhankelijk van incentiveregeling en actieve stimulering

Enkele zones boven de 50 procent, de meeste ver daaronder

  • woensdag 25 maart 2020

Hoewel de incentiveregelingen voor de DNSSEC-ondertekening van domeinnamen een groot succes zijn in de adoptie, moeten we tegelijkertijd concluderen dat er zonder zo'n regeling weinig gebeurt. Dat zien we terug in de enorme verschillen tussen TLD's met en TLD's zonder zo'n regeling.

Onderstaande grafiek laat de ontwikkeling van DNSSEC-ondertekening in de best presterende Europese topleveldomeinen (TLD's) zien. Naast onze eigen .nl-zone doen ook Tsjechië, Noorwegen en Zweden het goed, met een adoptiegraad die overal boven de 50 procent ligt.

Ontwikkeling DNSSEC-ondertekende top-level domeinen (bron: www.statdns.com, CENTR en individuele registries)

Dat deze domeinen het zo goed doen is niet toevallig: SIDN heeft de afgelopen jaren een belangrijke bijdrage geleverd aan de ontwikkeling van de DNSSEC-standaard (net als de Zweedse registry Internetstiftelsen en de Tsjechische registry CZ.NIC). Daarnaast ondersteunden we direct of indirect de ontwikkeling en deployment van DNS(SEC)-software. Veelgebruikte pakketten als PowerDNS [1, 2], Unbound, NSD en OpenDNSSEC worden allemaal in Nederland ontwikkeld. CZ.NIC doet vergelijkbare dingen met de ontwikkeling van Knot DNS, Knot Resolver en de DNSSEC/TLSA Validator (die laatste wordt niet langer onderhouden).

Incentiveregeling

Belangrijkste drijver in de adoptie van DNSSEC is echter de incentiveregeling. Daarbij krijgen registrars een korting op domeinnamen die van DNSSEC zijn voorzien. Onder andere de Zweedse, Tsjechische en Noorse registry’s hebben zo'n regeling. De sterke stijging van DNSSEC-gebruik in de hier ook populaire .nu-zone zal te maken hebben met het beheer dat bij de Zweedse registry ligt. Sterker nog, bij het opzetten van onze eigen incentiveregeling voor DNSSEC in 2015 hebben we ons laten inspireren door de regelingen van Zweden en Tsjechië. ”DNSSEC was onze eerste incentiveregeling en is een groot succes gebleken,” vertelt SIDN-directeur Roelof Meijer. “De afgelopen jaren hebben we dan ook vergelijkbare regelingen opgezet voor IPv6, veilige email-standaarden en het duurzaam gebruik van domeinnamen. Deze regelingen leveren een cruciale bijdrage aan de veiligheid en robuustheid van de .nl-zone.”

Toegevoegde waarde

Hoe belangrijk een actieve rol van de registry en een incentive voor de adoptie van DNSSEC zijn, kun je zien aan de ‘toepassing’ ervan in de internationale gTLD's .com, .net, .org en .info. In deze (en vele andere) zones is het gebruik van DNSSEC verwaarloosbaar. Volgens Frederic Cambus, maintainer van de StatDNS portal, heeft dat enerzijds te maken met de complexiteit van DNSSEC, anderzijds met het gebrek aan directe voordelen van DNSSEC. "Het DANE-protocol had zo'n voordeel kunnen zijn. Maar inmiddels is duidelijk dat de ondersteuning ervan in web browsers voorlopig niet gaat gebeuren." Daarbij is het wel van belang onderscheid te maken tussen DANE voor web en DANE voor mail. Die laatste beveiligt het mail-transport door het TLSA record te gebruiken om het TLS-certificaat van een mail-server in het DNS vast te pinnen. Daarmee bouwt DANE verder op de beveiligingsinfrastructuur die met DNSSEC is aangelegd.

Infrastructuur

Hoewel de incentive-regelingen zonder meer een groot succes zijn in de adoptie van DNSSEC-ondertekening, moeten we tegelijkertijd concluderen dat er zonder zo'n regeling weinig gebeurt. "De meeste stijgingen in TLD's zonder incentive zijn terug te herleiden tot een bij-effect," zegt Marco Davids, research engineer bij SIDN Labs. "Zo zagen we ook .com en .eu stijgen toen TransIP de DNSSEC-knop voor .nl eenmaal had omgezet om de incentive te krijgen." Hoewel we er nog niet zijn, benadrukt Davids dat er de afgelopen jaren veel gebeurd is. "Er zijn al flink wat validerende resolvers, en in bijna elke TLD kun je wel DNSSEC doen. Wie zijn domeinnaam met DNSSEC wil beveiligen kan dat, en wie wil valideren kan dat ook. De infrastructuur ligt er. Zoals je ziet is in de .nl-zone inmiddels meer dan de helft van de domeinen ondertekend. En vanaf begin deze maand valideert KPN voor al zijn vaste en mobiele klanten. Daarmee is validatie in één klap voor 30-40 procent van internettend Nederland aangezet."

Aanpak Norid

De Noorse registry Norid introduceerde DNSSEC eind 2014, vanaf het moment dat de meeste DNS software deze beveiligingstechnologie ondersteunde. “We deden dat destijds in de vorm van een infrastructuur-update,” vertelt directrice Hilde Thunem. “Daarbij hoefden domeinnaamhouders zich niet bewust te zijn van het bestaan van deze technologie of deze actief aan te vragen voor hun domeinen. Op die manier wilden we de registrars motiveren om de domeinnamen waar zij verantwoordelijk voor waren te ondertekenen. Daarvoor hebben we destijds verschillende zaken gedaan:

  • de registrar-overeenkomst aangepast zodat registrars de namen van hun klanten konden ondertekenen zonder dat zij daarvoor eerst toestemming van de houder nodig hadden (we hebben de registrars die van plan waren hun hele portfolio te ondertekenen wel aangeraden om hun bestaande en nieuwe klanten hierover te informeren en dit op te nemen in hun klantcontract)

  • tweedaagse trainingen in DNS en DNSSEC opgezet en betaald voor registrars die dat wilden

  • de gratis EPP client die we aan de registrars aanbieden voorzien van DNSSEC-ondersteuning

  • een financiële incentive ingesteld voor registrars die de domeinen in hun portfolio in de eerste twee jaar zouden ondertekenen. Die korting werd in die periode twee keer per jaar vastgesteld. In december 2017 voegden we daar nog een bonuskorting aan toe. Registrars kregen bij elkaar een korting van 10 procent op de registratie/vernieuwingsprijs voor elk domein dat het hele jaar ondertekend was.

  • daarnaast deden we nog een aantal dingen gericht op anderen dan de registrars:

    • een volle dag training in DNSSEC-validatie opgezet en betaald voor ISP’s en grote domeinnaamaanbieders die dat wilden

    • een filmpje gemaakt waarin wordt uitgelegd hoe DNSSEC werkt, waarmee deze technologie aan de domeinnaamhouders uitgelegd kon worden.”

“Maar het motiveren van de registrars was onze eerste prioriteit,” benadrukt Thunem. “Zoals je aan de statistieken kunt zien, was dat een effectieve manier om een aanzienlijk percentage van de domeinnamen in een paar maanden na de introductie van DNSSEC ondertekend te krijgen (en te houden). De implementatiegraad verschilt echter enorm tussen de verschillende registrars. In september 2018 bleek dat de tien registrars met het grootste aandeel ondertekende domeinen verantwoordelijk waren voor 98,4 procent van alle ondertekende domeinen. We hebben geen update op dit cijfer, maar ik verwacht niet dat dat nu siginificant anders is.”

StatDNS

Voor het maken van bovenstaande grafiek hebben we gebruik gemaakt van de historische informatie van StatDNS en data beschikbaar gesteld door individuele registry’s. Hoewel deze informatie ook bij CENTR, de vereniging van Europese van ccTLD registry’s, wordt geregistreerd, is die niet voor het algemene publiek beschikbaar. "StatDNS is een DNS-onderzoeksproject dat statistieken, bronnen en open-source DNS tools (StatZone en RRDA) biedt," vertelt Cambus. "We leveren maandelijkse rapportages over glue records, domeinnamen, name servers en DNSSEC in de TLD's." "De informatie wordt berekend aan de hand van de zone files. Toen ik hiermee in 2011 van start ging moest ik voor elke TLD een formulier invullen en per fax insturen. Tegenwoordig is die informatie voor steeds meer gTLD's beschikbaar via ICANN's Centralized Zone Data Service (CZDS)." "Dat is heel anders voor de ccTLD's: op dit moment publiceert alleen Internetstiftelsen de zone files voor .se en .nu. Het zou mooi zijn als andere registry’s dat ook zouden gaan doen."