Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Helft van Nederlandse internetters maakt nu gebruik van DNSSEC-validerende resolvers

"Uitgestelde root key roll-over zorgde voor anderhalf jaar vertraging in adoptie"

  • woensdag 10 juni 2020

Na een stagnatie van anderhalf jaar zit de adoptie van DNSSEC-validatie gelukkig weer in de lift. Uit metingen van APNIC (de RIR voor de Asia-Pacific regio), blijkt dat het aandeel internetgebruikers dat gebruikmaakt van een validerende resolver wereldwijd nu op ruim 25 procent zit. Volgens Geoff Huston, Chief Scientist bij APNIC, hebben we die groei vooral te danken aan een paar grote Aziatische providers die zijn gaan valideren. De dip in de periode 2017-2018 is volgens hem te wijten aan de uitgestelde root key roll-over.

Verdubbeling in 2 jaar

Het aandeel internetgebruikers dat gebruikmaakt van een validerende resolver zit nu wereldwijd op ruim 25 procent: een verdubbeling over de laatste 2 jaar. Tel je daar de gebruikers bij op waarvan niet alle resolvers (bij hun access provider) valideren, dan komt daar nog eens zo'n 9 procentpunt bij. Zoals je in onderstaande grafiek kunt zien, is deze toename echt iets van de laatste 2 jaar. In de anderhalf jaar daarvoor liep de adoptie zelfs terug.

Grote Aziatische providers

Om te zien waar die stijging precies vandaan komt, kijken we naar de grafieken van de afzonderlijke regio's. En dan laat vooral Azië een hele sterke groei zien: een verveelvoudiging van 5 naar 24 procent.

Volgens Huston is de provider-markt de afgelopen jaren enorm geconsolideerd. Voor mobiele communicatie heeft elk land (als gevolg van beperkingen in het aantal beschikbare frequenties) nu typisch 3 grote telecom operators. "De grootste 16 providers leveren internettoegang aan een derde van de wereldwijde gebruikerspopulatie." Dat betekent dat als een van deze 16 gaat valideren, dit een duidelijk zichtbare impact heeft op de totale adoptie. Volgens Huston zijn Reliance Jio (India) en Deutsche Telekom 2 van dat soort grote providers die vorig jaar DNSSEC-validatie voor hun klanten aan hebben gezet.

Validatie door KPN

Hier in Nederland hebben we op nationaal niveau precies hetzelfde gezien toen KPN eerder dit jaar ging valideren voor zowel zijn vaste als mobiele klanten. Daarmee werd validatie in één klap voor 30-40 procent van internettend Nederland aangezet. Zoals je hieronder kunt zien, maakt 50 procent van de Nederlandse gebruikers op dit moment gebruik van een validerende resolver. En waar we voorheen regelmatig onze zorgen uitspraken over de langzame adoptie van de validerende zijde van DNSSEC [1, 2], zitten we met onze huidige score inmiddels in de middenmoot in de vergelijking met de landen om ons heen.

Land

Percentage domeinnamen ondertekend met DNSSEC

Luxemburg

75%

Zwitserland

62%

Duitsland

55%

Nederland

50%

België

40%

Frankrijk

36%

Oostenrijk

19%

Tabel 1. DNSSEC-validatie in West-Europa [bron: APNIC].

De .nl-zone

Op onze eigen pagina met DNSSEC-statistieken kun je zien dat 48 procent van de wereldwijde queries voor de .nl-zone nu afkomstig is van validerende resolvers. De eerste grafiek hieronder laat zien dat de groei over de afgelopen jaren grofweg lineair is geweest. Maar kijken we naar het (absolute) aantal validerende resolvers dat onze name servers bevraagt, dan zien we over de afgelopen 2 jaar een exponentiële groei. Dat suggereert dat de laatste jaren ook kleinere resolvers zijn gaan valideren.

Dat we (in de eerste grafiek) de sprong veroorzaakt doordat KPN ging valideren niet terugzien, heeft te maken met het aandeel Nederlandse resolvers dat onze DNS-servers benadert. Zoals je hieronder kunt zien staat maar 9 procent van die (validerende) resolvers in Nederland. Het leeuwendeel van de (DNSSEC) queries is afkomstig van 'Big Internet'.

De uitgestelde roll-over

De wereldwijde dip in de toepassing van DNSSEC-validatie in de voorgaande jaren werd volgens Huston veroorzaakt door de root key roll-over. De roll-over zelf is uiteindelijk probleemloos verlopen, maar omdat men bang was dat niet genoeg resolvers van het nieuwe KSK-2017 trust anchor waren voorzien, is de daadwerkelijke roll-over in de root zone in september 2017 een jaar vooruitgeschoven. Dat betekent dat een deel van de beheerders de eerste implementatie van DNSSEC-validatie voor zich uit zal hebben geschoven. Andere beheerders zullen voor de makkelijkste (‘veiligste’) weg hebben gekozen door voorafgaand aan de roll-over hun bestaande validatie tijdelijk uit te zetten. Maar na een jaar uitstel zal het (opnieuw) testen en aanzetten van de validatie niet direct meer op de agenda hebben gestaan.

Trage adoptie internetstandaarden

Vorig jaar startte de Multistakeholder Advisory Group (MAG) van het internationale Internet Governance Forum (IGF) een onderzoek naar de langzame adoptie van internetstandaarden. De uitkomsten daarvan zijn onlangs gepubliceerd. De Nederlandse technische internetgemeenschap heeft een belangrijke bijdrage geleverd aan dit onderzoek, waaronder ECP, Olaf Kolkman, het ministerie van Economische Zaken, SURFnet, DINL en wijzelf. In sommige gevallen duurt het niet jaren maar decennia voordat een nieuwe internetstandaard wordt geadopteerd. IPv6 dateert van 1998 en begint nu pas opgang te vinden. En de actuele DNSSEC-standaard werd gepubliceerd in 2005, maar wordt maar in een beperkt aantal topleveldomeinen echt toegepast. Een incentive-regeling zoals we die ook voor de .nl-zone hebben, blijkt daarin een belangrijke rol te spelen. Het belangrijkste probleem met de adoptie van nieuwe standaarden is volgens deelnemers aan het IGF-onderzoek dat er geen business case is. Een hogere veiligheid is immers lastig te kwantificeren en moeilijk als betaalde toevoeging aan de man te brengen. Dat sluit aan bij de rationale en het succes van de incentive-regelingen. De auteurs zelf zeggen dat er voor de markt geen enkele druk is om nieuwe standaarden in te voeren:

  • internetstandaarden zijn geen officiële (juridische) standaarden; wetgeving beperkt zich in het algemeen tot de bescherming van consumenten, terwijl die juist het verst af staan van het ontwikkelproces voor nieuwe standaarden;

  • internetstandaarden worden ontwikkeld door een kleine gemeenschap van techneuten die maar beperkte relaties hebben met stakeholders buiten hun eigen groep, terwijl de implementatie juist daarbuiten moet gebeuren;

  • internetbeveiliging en -architectuur zijn geen onderdeel van universitaire curricula.

Aanzetten validatie-optie

Wat betreft de adoptie van DNSSEC-validatie noemt Huston het hoopgevend dat door de resolvers in meer dan 90 procent van de queries het DO-bit wordt gezet. Daarmee vragen zij naast de primaire records ook de bijbehorende digitale handtekening op. Dat betekent dat meeste resolvers DNSSEC ondersteunen, maar dat de validatie-optie nog wel aangezet moet worden. Interessant is dat Eric Rescorla, de CTO verantwoordelijk voor Firefox, onlangs aangaf open te staan voor de implementatie van DNSSEC-validatie in de browser. Daarmee zou de bescherming geboden door DNSSEC helemaal worden doorgetrokken tot op het eindpunt bij de gebruiker ('The Last Mile'). Bovendien brengt dat DANE voor het web misschien weer wat dichterbij. Wie zelf DNSSEC-validatie op zijn resolver aan wil zetten, kan voor concrete hulp terecht op onze DNSSEC-pagina. Hier vind je hands-on beschrijvingen voor Unbound, Infoblox, PowerDNS en BIND.