Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Internetbeveiligingsstandaarden moeten opboksen tegen zakelijke belangen van internetleveranciers

Stagnatie, verhoogde risico's, single points of failure, choke points en afhankelijkheden zijn het gevolg

  • donderdag 2 juli 2020

Het aantal domeinnamen voorzien van DANE voor mail nadert de 2 miljoen. De adoptie van deze beveiligingsstandaard laat al jaren een exponentiële groei zien. Ondanks de verplichting om deze en andere mailbeveiligingsstandaarden te implementeren, stagneert de adoptie bij overheidsorganisaties.

Zakelijke belangen van grote leveranciers en internetbedrijven maken dat zij deze standaarden zo laat mogelijk aanbieden of hun eigen alternatieven pushen. Behalve dat dat problemen oplevert bij de implementatie, zorgt dat ook voor single points of failure en choke points in de internetinfrastructuur, en ongewenste afhankelijkheden van ‘Big Internet companies’. Volgens de laatste statistieken van Viktor Dukhovni zitten we inmiddels op de 1,92 miljoen domeinnamen die voorzien zijn van DANE voor mail. Zoals je ziet hebben Nederlandse providers en domeinen een belangrijk aandeel in deze ranglijst. In absolute aantallen DANE-enabled MX-gateways staan we op de derde plek achter de VS en Duitsland. Dit alles heeft ongetwijfeld te maken met onze toppositie op gebied van DNSSEC, wat een verplichte standaard is voor het gebruik van DANE.

Exponentiële stijging

Nieuwkomers in dit overzicht zijn hosting provider WebReus, die afgelopen maand DANE voor mail aanzette voor 21.300 domeinnamen, en secure mail provider MX-Relay die hetzelfde deed voor bijna 2.300 domeinnamen. Maar ook de Dienst Uitvoering Onderwijs (DUO) van het ministerie van OC&W krijgt een eervolle vermelding.

In onderstaande grafiek kun je zien hoe de adoptie van DANE (voor mail) een exponentiële vlucht heeft genomen.

Stagnatie

Hoewel overheidsorganisaties verplicht zijn de internetstandaarden voor de beveiliging van e-mail (en een aantal andere (beveiligings-)standaarden) te gebruiken, gaat het met de implementatie niet vlot genoeg. Uit de laatste Meting Informatieveiligheidstandaarden blijkt dat de verdere adoptie van DKIM, SPF en DMARC nagenoeg tot stilstand is gekomen. Er zit nog wel progressie in de publicatie van DMARC (policy) records en DANE (certificate pinning) records, maar de adoptie van deze twee is nog heel laag ten opzichte van de andere beveiligingsstandaarden voor mail.

Verhoogd risico

Bij de publicatie van deze meting sprak Forum Standaardisatie dan ook zijn zorgen uit over de risico's verbonden aan een onvoldoende beveiligde mailinfrastructuur. "42 procent van de overheid is nog kwetsbaar voor e-mailvervalsing. Daarnaast voldoet de helft niet aan de verplichte beveiligingseisen voor het borgen van vertrouwelijkheid van e-mail. Deze overheidsorganisaties voldoen niet aan de overheidsbrede afspraken en lopen hierdoor verhoogd risico." Het Forum waarschuwt voor schade door phishing/spoofing, afluisteren en manipulatie van e-mailverkeer van de overheid. Als voorbeelden noemt Forum Standaardisatie de vervalste mailberichten die in april namens het RIVM en de Rijksoverheid werden verstuurd. In dezelfde maand meldde de Algemene Rekenkamer dat het mogelijk was om mail te versturen uit naam van de Commandant der Strijdkrachten en andere Defensie-medewerkers. Voor de internetbeveiligingsstandaarden die (al langer) op de 'pas toe of leg uit' (ptolu)-lijst staan, heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) zogenaamde streefbeeldafspraken opgesteld. SPF, DKIM en DMARC hadden eind 2017 al bij alle Nederlandse overheidsorganisaties geïmplementeerd moeten zijn. Eind 2019 hadden overal de SPF- en DMARC-policy’s (records) op scherp moeten worden gezet. En op datzelfde tijdstip had ook DANE/STARTTLS voor alle MX-gateways geïmplementeerd moeten zijn.

Zakelijke belangen

Dat de ontwikkeling en het gebruik van deze beveiligingsstandaarden regelmatig botst met zakelijke belangen van grote commerciële mail-aanbieders als Microsoft en Google helpt ook niet. Zo moest Forum Standaardisatie aanzienlijke bestuurlijke druk uitoefenen op Microsoft voordat dat bedrijf eindelijk toezeggingen wilde doen met betrekking tot de implementatie van DNSSEC en DANE. Directe aanleiding was dat de adoptie van DNSSEC (vereist voor het gebruik van DANE) bij gemeenten en provincies vorig jaar zelfs terugliep door het overstappen naar Office 365 Exchange Online. In onderstaande serie tweets maakt Rich Felker (ontwikkelaar van de musl C library) zich kwaad over Google die geen DANE zou willen doen ten gunste van hun eigen (beperkter) MTA-STS protocol.

In hun laatste 'European Cyber Security Perspectives' benadrukt KPN het belang van DNSSEC, dat op zichzelf geen duidelijk zichtbare (verkoopbare) meerwaarde heeft – KPN noemt het een hygiënefactor – maar wel vereist is bij de inzet van DANE/STARTTLS.

Big Internet

Onze eigen research engineer Maarten Wullink sprak onlangs zijn zorgen uit over de afhankelijkheid van gratis-certificaat-leverancier Let's Encrypt. Naast de Electronic Frontier Foundation, Mozilla Foundation en Internet Society zijn ook Google, Facebook en Cisco bij deze dienst betrokken. Inmiddels is bijna drie kwart van alle TLS-beveiligde websites in de .nl-zone voorzien van een dergelijk LE-certificaat.

Volgens Wullink maakt deze monocultuur ons kwetsbaar als er weer een hack zoals destijds bij DigiNotar zou plaatsvinden, of als de LE-infrastructuur een paar dagen onbereikbaar zou zijn. "Het is onwenselijk dat de meeste certificaten door een enkele (Amerikaanse) Certificate Authority (CA) worden uitgegeven," zegt Wullink. "Het gaat dan niet alleen om een eventuele single point of failure, maar bijvoorbeeld ook om privacy issues en de vraag of je van een grote buitenlandse partij afhankelijk wilt zijn." Een gedistribueerde infrastructuur zoals je die op basis van self-signed certificaten en DANE (voor web) kunt opzetten, lijkt op dit moment echter ver weg. "DANE voor web wordt zo goed als niet gebruikt, en browsers hebben standaard (zonder plugin) ook geen ondersteuning voor DANE."

https://assets.ctfassets.net/yj8364fopk6s/7t8wLafwM4iLXCbW1g9dWw/41a1c6d3d2e3b6adef902e8bc82bd117/Checklist_e-mailstandaarden.pdf

Checklist e-mailstandaarden

Voor wie zelf aan de slag wil met SPF. DKI, DMARC en DANE/STARTTLS, hebben research engineers Marco Davids en Elmer Lastdrager een 'Checklist e-mailstandaarden' gemaakt. Dit stappenplan geeft aan welke onderdelen je in welke volgorde moet doorlopen om tot een goed beveiligde mailinfastructuur te komen. Bovendien bevat de checklist links naar diverse (online) tools om de goede werking van de verschillende onderdelen onderweg te testen.

Ben je er helemaal doorheen en draaien je systemen ook nog op IPv6, dan scoor je 100 procent op de mailtest van Internet.nl. Daarmee zijn je mailsystemen helemaal up-to-date en voldoen ze aan de laatste eisen en inzichten zoals die onder andere door Forum Standaardisatie [1, 2] en het Nationaal Cyber Security Centrum (NCSC) [1, 2] zijn opgesteld. Onlangs publiceerden we op deze site een uitgebreid hands-on artikel waarin we uitleggen hoe SPF, DKIM en DMARC werken, en hoe je die protocollen concreet configureert in je Postfix-mailserver. Binnenkort volgt eenzelfde artikel ook voor Exim.