Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Maar 6% van overheidsaanbestedingen bevat alle verplichte open standaarden

Wettelijke verplichting via AMvB ligt in het verschiet

  • maandag 12 oktober 2020

In maar 6% van 72 onderzochte overheidsaanbestedingen van vorig jaar werden alle verplichte open standaarden op de goede manier uitgevraagd. Bij 11% gebeurde dit helemaal niet. En bij de overige 83% werd alleen een gedeelte van die standaarden uitgevraagd. Al met al werd in 50% van de 736 gevallen waarbij een open standaard relevant was, deze ook daadwerkelijk als eis in de aanbesteding opgenomen. Zo blijkt uit de 'Monitor Open standaarden 2019' die deze zomer naar de Tweede Kamer werd gestuurd.

Hoewel deze uitkomsten iets beter zijn dan die van vorig jaar, en die weer iets beter dan die van het jaar daarvoor, gaat het maar tergend langzaam vooruit. In de rapportage zelf kunnen we lezen dat "het gebruik van de verplichte open standaarden de afgelopen jaren geleidelijk is toegenomen. Maar het einddoel dat alle overheden de relevante open standaarden toepassen is ook in 2019 nog niet bereikt, en de ontwikkeling lijkt te stagneren."

Internetbeveiligingsstandaarden

Leggen we de laatste halfjaarlijkse 'Meting Informatieveiligheidstandaarden' hier naast, dan zien we die stagnatie ook optreden specifiek voor de internetbeveiligingsstandaarden TLS/HTTPS, DNSSEC, SPF, DKIM en DMARC, TLS/HTTPS en HSTS volgens de striktere eisen van NCSC, en STARTTLS/DANE voor mail. De 2 diagrammen hieronder laten zien hoe de verdere adoptie van deze standaarden bij overheden nog slechts vooruit kruipt. Uitzondering is de strikte DMARC-policy, maar daarvan is de adoptiegraad nog heel laag ten opzichte van de andere beveiligingsstandaarden.

Daarmee blijft wat we hier destijds schreven over de meting van een jaar eerder onverkort staan: na de groei van de afgelopen jaren verloopt de implementatie van internetbeveiligingsstandaarden bij Nederlandse overheidsorganisaties inmiddels een stuk langzamer, ondanks verplichtingen en afspraken. De uitkomsten laten alles bij elkaar een sterk afgevlakte groei zien. De adoptie van de webgerelateerde standaarden neemt nauwelijks meer toe. De adoptie van de mailgerelateerde standaarden groeit nog wel, maar daar ligt het adoptiepercentage nu nog lager dan voor web.

Basisinfrastructuur

Gaan we terug naar de 'Monitor Open standaarden 2019', dan zien we (in tabel 5) dat de internetbeveiligingsstandaarden veel vaker dan de meeste andere open standaarden relevant zijn voor de onderzochte aanbestedingen. Dat is ook niet verwonderlijk als je bedenkt dat het om basisinfrastructuur gaat. De beveiligingsstandaarden worden in grofweg 30-60% van die relevante gevallen ook daadwerkelijk gevraagd. Uitzondering (in negatieve zin) is IPv6 (naast WPA2 Enterprise), waarvoor dat maar in 20% van de gevallen gebeurde.

Consequenties en oorzaken

We schreven al eerder over het grote economische [1, 2] en technische belang [1, 2, 3] van IPv6, over de Nederlandse achterstandspositie in de adoptie van IPv6, en over de consequenties daarvan voor ons innovatie- en investeringsklimaat [1, 2]. Maar de adoptie van nieuwe internetstandaarden gaat over de hele breedte heel moeizaam. In sommige gevallen duurt het niet jaren maar decennia voordat een nieuwe internetstandaard wordt geadopteerd. IPv6 dateert van 1998 en begint nu pas opgang te vinden. En de moderne DNSSEC-standaard werd gepubliceerd in 2005, maar wordt maar in een beperkt aantal topleveldomeinen echt toegepast. Volgens Geoff Huston, Chief Scientist bij APNIC, was de uitgestelde root KSK roll-over verantwoordelijk voor anderhalf jaar vertraging in de adoptie van DNSSEC-validatie. KPN nam begin dit jaar wel een belangrijke stap door te gaan valideren voor al zijn vaste en mobiele klanten. Maar Forum Standaardisatie moest vorig jaar aanzienlijke bestuurlijke druk uitoefenen op Microsoft voordat dat bedrijf eindelijk toezeggingen wilde doen met betrekking tot de implementatie van DNSSEC en DANE, beveiligingsmaatregelen waar klanten al jaren om vragen.

Verplichting tot adoptie

Voor Nederlandse overheidsorganisaties geldt voor alle bovengenoemde moderne internetstandaarden al jaren een verplichting tot adoptie. Alle open standaarden die door Forum Standaardisatie op de pas-toe-of-leg-uit-lijst (ptolu) zijn gezet, moeten verplicht worden ingevoerd bij de vernieuwing van infrastructuur, en dus ook in de betreffende aanbestedingen worden opgenomen. In aanvulling op deze verplichting zijn samen met het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) specifiek voor deze moderne (beveiligings)standaarden zogenaamde streefbeeldafspraken gemaakt waarin deadlines zijn vastgesteld voor de invoering ervan.

Maar kijken we naar de 'Leg Uit'-verplichting voor aanbestedingen waarin is afgeweken van de 'Pas Toe'-verplichting, dan blijken de bevindingen van de Monitor ronduit dramatisch: in geen van de beschikbare jaarverslagen van 7 ministeries die eerder van de eerste verplichting afweken werd een concrete aanbesteding genoemd. Bij de decentrale overheden waarvan aanbestedingen zijn onderzocht is in de jaarverslagen helemaal geen enkele verwijzing naar het standaardenbeleid teruggevonden.

Knoop doorhakken

"Het gaat inderdaad langzamer, zegt Bart Knubben," coördinerend adviseur bij Forum Standaardisatie, "maar er zit nog steeds beweging in. Dat zien we ook terug in de laatste meting waar we nu aan werken. Voor de standaarden die al hoog scoren, is het heel moeilijk om die laatste organisaties binnen te halen. Voor het achterblijven van DANE (voor mail) en de strikte instelling van DMARC zijn specifieke oorzaken aan te wijzen. Organisaties zijn huiverig om hun DMARC-policy op 'reject' of 'quarantine' te zetten, omdat ze bang zijn dat ze hun mailstromen niet goed genoeg in kaart hebben. Daar moet gewoon iemand een keer een knoop doorhakken. Probleem met DANE is dat deze standaard nog niet door alle software en dienstverleners wordt ondersteund. Zo doet sendmail pas sinds kort DANE-validatie voor uitgaande mail." Forum Standaardisatie heeft contact met andere dienstverleners, zoals Proofpoint, Forcepoint en Google, om ervoor te zorgen dat zij ook DANE gaan ondersteunen. Eerder ging Cisco DANE ondersteunen en heeft Microsoft aangekondigd dat voor eind 2021 volledig te gaan doen, beide mede op verzoek van de Nederlandse overheid. Volgens Knubben moet de implementatie van deze standaarden makkelijker worden. "De software moet zelf zorgen voor provisioning: nieuwe sleutels van PKI-certificaten zouden automatisch moeten resulteren in een update van de DANE-records. Daarnaast zien we dat de overheid zo veel verschillende domeinnamen gebruikt dat dat een beheersprobleem oplevert. Ook vanwege de veiligheid en herkenbaarheid moet dat aantal teruggebracht worden. Het belang daarvan wordt nu goed zichtbaar met alle initiatieven rondom corona waarvoor verschillende nieuwe overheidsdomeinen worden gebruikt, terwijl criminelen corona misbruiken om te phishen." Het zou kunnen dat de implementatie en het gebruik van deze (en andere) standaarden uiteindelijk wettelijk verplicht wordt. In de Wet digitale overheid die nu bij de Eerste Kamer ligt, is de mogelijkheid opgenomen om het gebruik van specifieke standaarden af te dwingen via een Algemene Maatregel van Bestuur (AmvB). Volgens Knubben kunnen standaarden via de ptolu-lijst en de streefbeeldafspraken zo stapsgewijs verdergaand verplicht worden gesteld.