Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

DNSSEC-inventarisatie, februari 2017

Achterblijven banken en beheerders internet-infrastructuur reden tot zorg

  • maandag 6 maart 2017

Management Summary

  • op dit moment is 46% van de .nl-domeinen ondertekend; dat aandeel groeit nog steeds, al is de initiële snelle groei inmiddels wel afgevlakt; daarmee heeft de incentive-regeling van SIDN zijn werk gedaan

  • inmiddels zien we de opkomst van nieuwe veiligheidstoepassingen die boven op de cryptografisch beveiligde infrastructuur van DNSSEC geïmplementeerd worden:

    • DKIM, SPF en DMARC om phishing en spoofing tegen te gaan,

    • DANE voor de hoognodige extra beveiliging van TLS-certificaten voor web en mail

  • daarmee is DNSSEC van een technologie-gedreven kostenpost overgegaan in een enabler voor belangrijke beveiligingstoepassingen

  • hoewel de globale stijging van het aandeel DNSSEC-ondertekende domeinnamen duidelijk is terug te zien in vrijwel alle gemeten categorieën, zijn er nog steeds grote verschillen

  • overheden zitten inmiddels met een aandeel van 59% ondertekende domeinnamen in de top van de ranglijst; dat is met name te danken aan de opname van DNSSEC in de 'pas toe of leg uit'-lijst (ptolu) van het Forum Standaardisatie en de lancering van de Internet.nl portal

  • ondanks dat wij van mening zijn dat de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn, scoren zij het slechtst van allemaal; net als twee-en-half jaar geleden heeft slechts een enkeling zijn domeinnaam ondertekend; met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden; bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC in combinatie met DKIM bescherming tegen kan bieden

  • ook de mobiele telecom-aanbieders, access providers, service providers en de ondernemingen verantwoordelijk voor de datatransport-backbone doen het opvallend slecht; slechts een klein deel van deze bedrijven heeft zijn domeinnaam ondertekend; hetzelfde geldt voor de validerende zijde; de twee grootste Nederlandse access providers (KPN en Ziggo) doen geen validatie voor hun klanten; deze bevindingen staan dan ook in schril contrast met de positionering van het Nederlandse internet als de derde mainport naast Schiphol en de Rotterdamse haven

Inleiding

DNSSEC

DNSSEC is een cryptografisch beveiligingssysteem voor DNS, de internet-adresgids die zorgt voor de vertaling van domeinnamen naar IP-adressen (en andersom). DNSSEC voorziet de DNS-informatie (de records) van een digitale handtekening, zodat de client (d.w.z. de resolver) kan controleren of de inhoud authentiek is.

DNSSEC is een voorwaarts compatibele uitbreiding van het DNS-protocol. Dat betekent dat resolvers en name servers zonder problemen met elkaar kunnen samenwerken, ongeacht of zij DNSSEC ondersteunen. Het beveiligingssysteem is echter alleen in werking als beide zijden DNSSEC ondersteunen. Daarvoor moet de betreffende domeinnaam ondertekend zijn (aan server-zijde) en moeten de digitale handtekeningen inderdaad geverifieerd worden (aan clientzijde). Alleen dan is de integriteit van de name server en het transport van de DNS-informatie beschermd.

Belang

Voor bedrijven is veel van de interactie met klanten, partners en leveranciers al naar internet verschoven. Ook overheden en andere organisaties communiceren onderling en met burgers en bedrijven steeds meer via internet. Daarmee is ook het belang van een goed beveiligde digitale ingang sterk toegenomen. Bezoekers moeten ook online op de betrouwbaarheid van een merk of organisatie kunnen rekenen. Een onveilige internetdienst — laat staan een kraak — levert zowel reputatie- als zakelijke/financiële schade op.

Weet een kwaadwillende de DNS-informatie op de nameserver, onderweg of bij de client te veranderen, dan kan hij die client naar een valse server sturen. Op die manier kunnen paswoorden en andere vertrouwelijke gegevens worden buitgemaakt, of geld en omzet worden gestolen. DNSSEC beschermt de integriteit van de name server en het transport van de DNS-informatie. Dat is voor aanbieders van internetdiensten een garantie dat verkeer van bezoekers inderdaad op de juiste plaats terecht komt.

Historie

De afgelopen jaren heeft SIDN groot ingezet op DNSSEC, de cryptografische beveiliging van domeinnaam-informatie. Dat begon in 2010 met de ondertekening van ons eigen .nl top-level domein en het Friends & Family programma waarmee de eerste houders hun domein van een digitale handtekening konden voorzien. De grote doorbraak kwam twee jaar later met de incentive-regeling die de registrars een korting geeft op ondertekende domeinnamen.

Stand van zaken

Inmiddels (stand van zaken op 8 februari 2017) zijn 2.595.754 van de 5.701.008 nl-domeinen ondertekend (46%). Dat aandeel neemt nog steeds toe, al is die hele snelle groei inmiddels wel afgevlakt. De afgelopen twee jaar hebben we geen grote DNSSEC-projecten meer gezien van registrars die hun domeinnamen met honderdduizenden tegelijk ondertekenden. Alle registrars met een dergelijk groot portfolio aan .nl-domeinen hebben DNSSEC inmiddels ingevoerd, waarmee de incentive-regeling wat dat betreft zijn werk heeft gedaan.

De afgelopen twee jaar hebben we wel steeds vaker kunnen berichten over het gebruik van nieuwe veiligheidstoepassingen die bovenop de cryptografisch beveiligde infrastructuur van DNSSEC geïmplementeerd worden: het drietal DKIM, SPF en DMARC om phishing, spamming, spoofing en andere e-mail-malware tegen te gaan, en DANE voor de broodnodige extra beveiliging van de TLS-certificaten voor web ("het sleuteltje") en mail.

DNSSEC en DKIM stonden al langer op de 'pas toe of leg uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat overheidsorganisaties bij de vernieuwing van hun systemen min-of-meer verplicht zijn om deze standaarden te implementeren. Onlangs zijn STARTTLS en DKIM voor mail daar bij gekomen. De lancering van de Internet.nl portal, waar domeinnamen gecontroleerd kunnen worden op het gebruik van moderne en veilige internet-standaarden, is onderdeel van deze ontwikkeling.

Met de implementatie en het gebruik van nieuwe toepassingsmogelijkheden boven op de DNSSEC-infrastructuur is ook de positie van DNSSEC in belangrijke zin veranderd: deze beveiligingsstandaard is hiermee van technologie-gedreven kostenpost overgegaan in een enabler voor belangrijke beveiligingstoepassingen.

Validatie

De waarde van DNSSEC zit uiteindelijk in de validatie van de ondertekende domeinnamen door bezoekers en gebruikers daarvan. Daarmee zijn validatie en ondertekening complementair aan elkaar, en beide nodig om deze cryptografisch beveiligde infrastructuur te kunnen uitnutten (in de DNSSEC-wereld wel bekend als "het kip-ei probleem").

Een ouder argument voor organisaties die zelf hun DNS beheren was dat maar een beperkt aantal internetproviders validatie deed voor zijn gebruikers. Hoewel het nog wachten is op de twee grootste (KPN en Ziggo), zijn er inmiddels flink wat internetproviders (waaronder XS4All, BIT en Edutel) die wel valideren voor hun klanten. Een deel daarvan heeft de ondersteuning van DNSSEC ook expliciet naar hun klanten gecommuniceerd, waarmee de implementatie van DNSSEC ook commerciële waarde heeft gekregen.

Hoewel SIDN zelf in principe geen directe relatie heeft met de internetproviders (voor zo ver zij niet ook registrar zijn), probeert zij toch ook de validatie van DNSSEC te stimuleren. Voorbeelden daarvan zijn de participatie in het Internet.nl portal-project en de lancering onlangs van de Valibox, een apparaatje waarmee eindgebruikers hun draadloze thuis/kantoor-netwerk van DNSSEC-validatie kunnen voorzien.

Een grote sta-in-de-weg voor validatie, een relatief groot aantal bogusdomeinnamen in de .nl-zone, behoort inmiddels tot de verleden tijd.

DNSSEC-inventarisatie, februari 2017

Om beter inzicht te krijgen in de opbouw van het beveiligde domeinbestand hebben we gedetailleerder gekeken naar de toepassing van DNSSEC in verschillende sectoren. Wat je zou hopen en verwachten is dat organisaties waar veiligheid, geloofwaardigheid en betrouwbaarheid een belangrijke rol spelen hun hoofddomeinen vaker dan gemiddeld ondertekend hebben.

Voor deze inventarisatie zijn 27 lijstjes met domeinnamen gemaakt — deels met de hand verzameld, deels overgenomen van brancheorganisaties. Dat is een flinke uitbreiding ten opzichte van de eerste inventarisatie, uitgevoerd in het najaar van 2014.

Bij de selectie van de verschillende categorieën hebben we specifiek gekeken naar segmenten waarvan we menen dat de beveiliging met DNSSEC belangrijker is dan voor andere. Denk aan banken, internetwinkels, grote ondernemingen, overheidsorganisaties en kranten. Maar ook van internet- en telecomproviders verwachtten we meer. Zij hebben immers meer netwerk- en security-gerelateerde expertise in huis en kunnen DNSSEC zelf als dienst aan hun klanten aanbieden.

Voor de afzonderlijke categorieën is vervolgens onderzocht hoe groot het aandeel ondertekende domeinnamen is. Daarvoor is gebruik gemaakt van de DNSSEC Portfolio Checker van SIDN Labs.

Uitkomsten

De tabel hieronder geeft een overzicht van onze bevindingen, gegroepeerd in een viertal sectoren. De kolommen met de categorieën en de percentages ondertekende domeinnamen zijn het meest interessant. Doorklikken op de categorie geeft een gedetailleerd overzicht van de onderzochte domeinen en de uitkomsten van onze meting.

2017

2014

Sectoren/categorieën

domeinen

ondertekend

percentage

domeinen

ondertekend

percentage

Financiële dienstverleners

235

12

5%

Financials

278

44

16%

Banken

64

4

6%

Betalingsverkeer

54

9

17%

Verzekeraars

119

27

23%

Pensioenfondsen

194

58

30%

157

7

4%

Pensioenorganisaties

14

5

36%

6

0

0%

Gepensioneerden-organisaties

31

13

42%

Publieke sector

Overheidsorganisaties

627

325

52%

655

73

11%

Gemeenten

221

42

19%

ZBO's

69

20

29%

Toezichthouders

30

6

20%

Zorginstellingen

219

55

25%

Hoger onderwijs

90

16

18%

28

6

21%

Wetenschappelijk onderzoek

152

45

30%

128

12

9%

Onderzoeksorganisaties (NARCIS)

1.008

239

24%

Internet en telecom

Telecom

6

2

33%

4

0

0%

MVNO's

79

23

29%

96

18

19%

Internet-providers

24

7

29%

27

2

7%

Internet Service Providers

79

18

23%

Internet-infrastructuur

39

25

64%

42

16

38%

AMS-IX leden

716

53

7%

NL-ix leden

559

104

17%

Bedrijfsleven

Beursgenoteerde ondernemingen

107

11

10%

64

5

8%

Nutsvoorzieningen

56

20

36%

Thuiswinkels

2.155

626

29%

2.044

480

23%

Kranten

51

17

33%

45

12

27%

Zoals bovenstaande tabel laat zien, meten we nog steeds grote verschillen tussen de afzonderlijke categorieën. Tegelijkertijd zien we de stijging van het aandeel DNSSEC-ondertekende domeinnamen in de gehele .nl-zone ook duidelijk terug in een stijging over de afzonderlijke categorieën (waar voor een klein gedeelte ook andere dan .nl-domeinen bij zitten).

Waar twee jaar geleden met name de financiële dienstverleners, grote ondernemingen, overheden en internetproviders nog een grote achterstand ten opzichte van de rest hadden, is dat inmiddels wel sterk veranderd. Overheden zitten inmiddels met een aandeel van 52% ondertekende domeinnamen boven in de ranglijst. Dat is met name te danken aan de opname van DNSSEC in de ptolu-lijst van het Forum Standaardisatie en de lancering van de (algemeen beschikbare) Internet.nl portal.

Internet en telecom

Alleen de specialisten die het Nederlandse internet ontwikkelen en onderhouden — waaronder ook SIDN — scoren met 64% hoger dan de overheid. De internetproviders (IAP's) en Internet Service Providers (ISP's) zitten nu met respectievelijk 29% en 23% in de middenmoot, waar de IAP's twee jaar geleden nog maar 7% scoorden.

De grote ondernemingen verantwoordelijk voor de infrastructuur-onderdelen van het Nederlandse internet en de verbindingen met de rest van de wereld doen het echter slecht.

Van de vier mobiele telecom-aanbieders (KPN, T-Mobile, Tele2 en Vodafone) heeft nog steeds geen een zijn domeinnaam ondertekend — die 33% is een vertekende statistiek omdat we hier ook RTV-zendmast-beheerder Alticom en toezichthouder Agentschap Telecom (tegenwoordig 'Rijksinspectie Digitale Infrastructuur') bij hebben gezet, en die hebben beide hun domeinnaam wel ondertekend.

Ook de ondernemingen verantwoordelijk voor de datatransport-backbone scoren opvallend laag: van de leden van de Amsterdam Internet Exchange (AMS-IX) en NL-ix knooppunten hebben respectievelijk maar 7% en 17% hun domeinnaam ondertekend. Dat wringt met name met de positionering van het Nederlandse internet als de derde mainport [1, 2, 3] naast Schiphol en de Rotterdamse haven.

Financiële dienstverleners

De banken deden het twee jaar geleden niet alleen het slechtst van allemaal, ze zijn in de tussentijd ook absoluut stil blijven staan. Slechts een enkeling (ASN, ASR, DHB en Interbank) heeft zijn domeinnaam ondertekend, en dat is exact dezelfde sitatie als twee jaar geleden. De reactie van Betaalvereniging Nederland destijds — de technologie is nog niet volwassen genoeg en er zijn nog niet genoeg validerende internetproviders — gaf al weinig hoop op verbetering.

Desondanks zijn wij van mening dat van alle onderzochte categorieën de banken de belangrijkste gebruikers van DNSSEC zouden moeten zijn. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC bescherming tegen kan bieden.

De collega's in verzekeringen en pensioenen hebben zich in de afgelopen twee jaar wel sterk weten te verbeteren, en doen op dit moment mee in de middenmoot.

Publieke sector

Hetzelfde geldt voor overheidsorganisaties. Zij bleven twee jaar geleden sterk achter bij de rest van de domeinnaamhouders, maar hebben inmiddels een veel sterkere positie ingenomen. Dat is duidelijk het gevolg van beleid op dit gebied. DNSSEC is vier jaar geleden op de ptolu-lijst van het Forum Standaardisatie gezet. Onlangs zijn STARTTLS en DKIM voor mail daar bij gekomen. Dat betekent dat overheidsorganisaties bij de vernieuwing van hun systemen min-of-meer verplicht zijn om deze standaarden te implementeren.

Daarnaast heeft het Forum Standaardisatie vorig jaar de Internet.nl portal opgezet. Daar kan iedereen zijn eigen domeinnaam of die van anderen controleren op het gebruik van moderne en veilige internet-standaarden.

Naar aanleiding van berichtgeving over de slechte beveiliging van gemeentelijke sites heeft Minister Plasterk van Binnenlandse Zaken onlangs gezegd dat alle Nederlandse gemeenten eind 2017 hun domeinnamen met DNSSEC moeten hebben beveiligd. Op dit moment is dat echter voor nog maar 19% van de gemeentelijke domeinnamen het geval, dus daar zal komend jaar nog veel werk verzet moeten worden.

Opvallende stijger in deze sector is ook de onderzoekswereld, waarvan het aandeel ondertekende domeinnamen van 9% naar 30% is gegroeid. SIDN heeft daar ook een belangrijke aanzet gegeven door in de zomer van 2014 als onderdeel van de Campus Challenge vijf instellingen te helpen met hun DNSSEC-implementatie.

Bedrijfsleven

In het Nederlandse bedrijfsleven kruipt het aandeel ondertekende domeinnamen vooruit. Beursgenoteerde ondernemingen, thuiswinkels en kranten zijn er allemaal ietsje op vooruit gegaan. Met een aandeel van 10% ondertekende domeinnamen doen de beursgenoteerde ondernemingen het nog steeds erg slecht.

De razendsnelle groei bij de kleine bedrijven (thuiswinkels) is inmiddels afgevlakt. Die was destijds te danken aan de grote registrars die hun domeinen met honderdduizenden tegelijk ondertekenden, gedreven door de incentive-regeling van SIDN. Omdat veel van de kleine bedrijven hun site met alles erop en eraan bij een dienstverlener afnemen, liftten zij hier automatisch op mee.

Alle registrars met een dergelijk groot portfolio aan .nl-domeinen hebben DNSSEC inmiddels ingevoerd, waarmee ook die razendsnelle groei er niet meer is. Wat dat betreft heeft de incentive-regeling zijn werk gedaan. De huidige, meer gestage groei wordt vooral gedreven door middelgrote en kleine registrars en bedrijven, voor wie de implementatie van DNSSEC meestal onderdeel is van een upgrade van hun DNS-infrastructuur.

Grote ondernemingen in het algemeen, en banken en telecombedrijven in het bijzonder, staan bekend hun traagheid van bewegen. Daarnaast zijn het veel meer dan andere organisaties gebruikers van Infoblox-appliances. De DNSSEC-implementatie van Infoblox is echter sterk verouderd, wat een aanvullende reden zou kunnen zijn voor grote ondernemingen om de ondertekening van hun domeinnamen uit te stellen.

Al met al blijven alle sectoren voor wie wij denken dat DNSSEC belangrijk is achter ten opzichte van het gemiddelde aandeel ondertekende domeinnamen (45%). Met name die domeinnaamhouders waarvoor DNSSEC een belangrijke toevoeging biedt aan de beveiliging van hun online ingang en de veiligheid van hun klanten — de banken — presteren hier het slechtst. Zij laten bovendien als enige groep over de afgelopen twee jaar geen enkele verbetering zien.

Conclusie

Globaal genomen is het aandeel ondertekende domeinnamen voor de onderzochte sectoren over de afgelopen twee jaar sterk gegroeid. Daarmee loopt de ontwikkeling in die segmenten waarvoor wij menen dat DNSSEC belangrijk is parallel aan de bredere trend.

Zowel deze als de vorige meting laat wel grote verschillen zien tussen de verschillende sectoren. In het algemeen doen kleinere bedrijven, die meestal hun site met alles erop en eraan bij een dienstverlener afnemen, het (automatisch) veel beter dan de grote ondernemingen.

Duidelijke uitzonderingen, in tegenovergestelde zin, zijn de overheden en de banken. Overheidsorganisaties zitten inmiddels met een aandeel van 52% ondertekende domeinnamen boven in de ranglijst. De banken daarentegen zijn als enige volledig stil blijven staan. Een enkele uitzondering daargelaten wordt DNSSEC door deze bedrijven simpelweg niet ingezet om hun domeinnamen te beveiligen.

Ook de uitkomsten voor de internet en telecomsector zijn teleurstellend. Waar de IAP's en ISP's nu meedoen in de middenmoot, scoren mobiele telecom-aanbieders en de ondernemingen verantwoordelijk voor de datatransport-backbone ronduit slecht.

Deze laatste constateringen zijn wat ons betreft reden tot zorg. Met het opdoeken van de bankkantoren en het verminderen van het aantal pinautomaten is de online voordeur van de banken steeds belangrijker geworden. Bovendien hebben zij het meest van alle online bedrijven last van phishing, iets waar onder andere DNSSEC bescherming tegen kan bieden.

De slechte score van de ondernemingen verantwoordelijk voor de infrastructuur-onderdelen van het Nederlandse internet en de verbindingen met de rest van de wereld tenslotte staat in schril contrast met de positionering van het Nederlandse internet als de derde mainport naast Schiphol en de Rotterdamse haven.