Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Merendeel van Nederlandse domeinen en internetters gebruikt DNSSEC-beveiliging

Verdere groei van DNSSEC echter gestagneerd

Close-up van een hangslot en een ketting
  • donderdag 23 februari 2023

DNSSEC wordt in Nederland al op grote schaal gebruikt: bijna 60 procent van alle .nl-domeinen is met DNSSEC beveiligd. Grofweg 60 procent van alle binnenkomende queries op de autoritatieve nameservers voor .nl is afkomstig van validerende resolvers (wereldwijd). En ongeveer 60 procent van de Nederlandse internetters maakt gebruik van een validerende resolver.

Het slechte nieuws is dat de verdere groei al een paar jaar stilstaat: Het aandeel beveiligde domeinnamen groeide de afgelopen 4 jaar met maar 1 à 2 procentpunt per jaar. En waar KPN 2 jaar geleden begon met validatie voor zijn klanten, ondersteunt VodafoneZiggo deze beveiligingstechnologie nog steeds niet. Internationaal gezien zijn er vooral heel veel topleveldomeinen die DNSSEC wel ondersteunen, maar waarvan het aandeel ondertekende domeinnamen daarbinnen verwaarloosbaar is bij gebrek aan stimulering.

In dit artikel bespreken we de stand van zaken wat betreft de adoptie van DNSSEC, zowel voor de ondertekening als validatie, en zowel voor Nederland als internationaal.

DNSSEC-ondertekening in Nederland

Nederland is wereldwijd nog steeds een van de koplopers als het gaat om de ondertekening van domeinnamen: inmiddels is bijna 60 procent van alle .nl-domeinen met DNSSEC beveiligd (situatie december 2022). Hoewel het aandeel beveiligde domeinnamen nog steeds doorstijgt, gaat dit inmiddels wel tergend langzaam: de afgelopen 4 jaar zaten we op een groei van 1 à 2 procentpunt per jaar.

Screenshot van de website stats.sidnlabs.nl van de grafiek die het aantal met .nl-domeinnamen met DNSSEC laat zien per 05-12-2022.
https://images.ctfassets.net/yj8364fopk6s/2b8zHsZDyQkjXEhfhjbCgS/7d6fd097a11867e0c50bca7edf463450/stats.sidnlabs.nl-DNSSECbeveiligd-20221206.png

SIDN stimuleert de adoptie van DNSSEC middels een financiële incentive-regeling. Deze is voor registrars onderdeel van de Registrar Scorecard (RSC). Door registrars een korting te geven op domeinen die DNSSEC toepassen, proberen we omslagpunten in investeringen in DNSEC dichterbij te brengen. Inmiddels wordt de DNSSEC-incentive afgebouwd, om daarna te worden vervangen door een bredere regeling. Vanaf deze zomer is een minimum percentage aan DNSSEC-ondertekende .nl-domeinnamen voor registrars randvoorwaarde om überhaupt in aanmerking te komen voor de andere incentives (voor veilige e-mail, IPv6 en actief gebruik).

DNSSEC-validatie in Nederland

Op dit moment is grofweg 60 procent van alle binnenkomende queries op de autoritatieve nameservers voor .nl afkomstig van validerende resolvers (situatie december 2022). Let op dat het hier niet gaat om (alleen) de Nederlandse resolvers maar om resolvers wereldwijd. De meeste van die queries zijn afkomstig van de grote cloud-leveranciers: Google, Microsoft, Amazon en Cloudflare. Vandaar ook dat de meeste queries afkomstig zijn van resolvers in de VS (ruim 25 procent), en slechts 10 procent van resolvers in Nederland zelf.

Screenshot van de website stats.sidnlabs.nl van de grafiek die het aantal verzoeken van validerende resolvers naar .nl-domeinnamen laat zien per 05-12-2022.
https://images.ctfassets.net/yj8364fopk6s/3sPTKJLK6Eu2uNL59EChQU/586fb547f8b75c7fa5f695070f2ee2dc/stats.sidnlabs.nl-DNSSECqueries-20221206.png
Screenshot van de website stats.sidnlabs.nl van de grafiek die het aandeel van de 10 grootste netwerken in DNSSEC-validatie laat zien.
https://images.ctfassets.net/yj8364fopk6s/7D2KXaDwJMSCyPrjTLuNkk/eb8e037c5141c1ab9a315bc6094f44fa/stats.sidnlabs.nl-DNSSECresolverNetwerken-20220807.png
https://images.ctfassets.net/yj8364fopk6s/1pT8G7bgFkpMaxxakRcKK4/03ad8d215e1827e448d425643c90e950/stats.sidnlabs.nl-DNSSECresolverLocations-20221206.png

KPN wel, Ziggo niet

Wat betreft de validatie liepen we in Nederland lange tijd achter op de rest van de wereld. Specifiek voor de Nederlandse internetgebruikers was het probleem dat de twee grootste Nederlandse accessproviders, KPN en Ziggo, beide geen validatie op hun DNS-servers ondersteunden. In 2020 heeft KPN (eindelijk) validatie aangezet voor zijn KPN/Telfort-klanten. VodafoneZiggo ondersteunt echter nog steeds geen validatie. Daarmee maakt nu ongeveer 60 procent van de Nederlandse internetgebruikers gebruik van een validerende resolver.

Screenshot van de website stats.sidnlabs.nl van de grafiek die het aantal DNSSEC-verzoeken vanuit Nederlandse netwerken laat zien per december 2022.
https://images.ctfassets.net/yj8364fopk6s/5DVqp8ensDxctdx4bK9CSB/b71287d7d8a081f3305c352fc0fe461c/stats.sidnlabs.nl-DNSSECresolverNLnetwerken-20221206-compleet.png
Grafiek van APNIC die het aantal validaties van met DNSSEC beveiligde .nl-domeinnamen laat zien per 5 december 2022.
https://images.ctfassets.net/yj8364fopk6s/3Zty47erq7Fr75yrBpmPhU/098c1814f57bb52aabe481c939fc8392/APNIC-DNSSECvalidationNL-20221206.png
Grafiek van APNIC die het aantal DNSSEC-implementaties laat zien van KPN per 2 december 2022.
https://images.ctfassets.net/yj8364fopk6s/7AfiaBOmZRqGKBMoCbJRB2/eaeb6e41e2d390a342b16353190bd606/APNIC-DNSSECvalidationKPN-20221206.png
Grafiek van APNIC die het aantal DNSSEC-implementaties laat zien van VodafoneZiggo per 4 december 2022.
https://images.ctfassets.net/yj8364fopk6s/3cXgSNqzOct00oJoI9A51Q/e9319212a6f4579333af5c2d043fdfee/APNIC-DNSSECvalidationVodafoneZiggo-20221206.png

DNSSEC-ondertekening wereldwijd

Zo (relatief) goed als het inmiddels gaat met de adoptie van DNSSEC in Nederland, zo slecht gaat het met de adoptie van DNSSEC wereldwijd. Vooral de toepassing van DNSSEC binnen de topleveldomeinen (dat wil zeggen: de ondertekening van domeinnamen) blijft wereldwijd gezien sterk achter.

De ondersteuning van DNSSEC is door ICANN verplicht gesteld vanaf 1 januari 2014, wat betekent dat in ieder geval alle nieuwe gTLD's deze beveiligingstechnologie ondersteunen.

Op dit moment wordt DNSSEC (ondertekening) door ruim 90 procent van alle ccTLD's ondersteund (situatie december 2022). Opvallende uitzondering is Turkije. Op het kaartje hieronder kun je zien dat het vooral ccTLD's in de Balkan, Afrika, het Midden-Oosten en Centraal-Azië zijn die DNSSEC nog niet ondersteunen.

Diagram van ISOC die een wereldkaart toont waarop te zien is of een land DNSSEC geadopteerd heeft of niet.
https://images.ctfassets.net/yj8364fopk6s/3ovMRCMnTRRwPFkutj40uv/6d09badf8d716ef0ec6771505ec05211/ISOC-Pulse-DNSSEC-20221208.png

DNSSEC-gebruik binnen de TLD's

De toepassing van DNSSEC binnen de TLD's wisselt enorm en is sterk afhankelijk van:

Onderstaande grafiek laat de ontwikkeling van DNSSEC in de best presterende Europese ccTLD's zien (situatie augustus 2022). Naast de Nederlandse .nl-zone doen ook Tsjechië (.cz), Noorwegen (.no) en Zweden (.se) het goed, met een adoptiegraad die boven de 50 procent ligt (net als het hier ook populaire .nu-domein). Snelle stijgers zijn Zwitserland (.ch) en Denemarken (.dk).

https://images.ctfassets.net/yj8364fopk6s/12JnSQ8oVt3pfd5bxgZgKq/7cca57394e51aeb5fdb79c98c942f4f5/diagram_grouped-screenshot2.png

Financiële incentive

SIDN heeft de afgelopen jaren een belangrijke bijdrage geleverd aan de ontwikkeling van de DNSSEC-standaard, net als de Zweedse registry Internetstiftelsen en de Tsjechische registry CZ.NIC. Daarnaast ondersteunde SIDN direct of indirect de ontwikkeling en deployment van DNS(SEC)-software: veelgebruikte pakketten als PowerDNS [1, 2], Unbound, NSD en OpenDNSSEC worden allemaal in Nederland ontwikkeld.

CZ.NIC doet vergelijkbare dingen met de ontwikkeling van Knot DNS, Knot Resolver en de DNSSEC/TLSA Validator (die laatste wordt niet langer onderhouden).

Maar belangrijkste: naast SIDN hebben ook de Zweedse, Tsjechische en Noorse registry’s een financiële incentive-regeling (en de .nu-zone wordt beheerd door de Zweedse registry).

Hoe belangrijk een actieve rol van de registry en een incentive voor de adoptie van DNSSEC zijn, kun je zien aan de "toepassing" ervan in de internationale gTLD's .com, .net, .org en .info: in deze (en vele andere) zones is het gebruik van DNSSEC verwaarloosbaar.

DNSSEC-validatie wereldwijd

Wereldwijd zit het aandeel internetgebruikers dat gebruik maakt van een validerende resolver op dit moment rond de 30 procent (situatie december 2022). Na een stagnatie in de COVID-jaren is de adoptie over het afgelopen jaar wel weer met grofweg 5 procentpunt gestegen.

Grafiek van APNIC die het gebruik van DNSSEC-validatie wereldwijd laat zien van per 5 december 2022.
https://images.ctfassets.net/yj8364fopk6s/6pJMKoN5oXoU6JuqDY9Kqi/2d16910af69972d80a6c1d01896f4859/APNIC-DNSSECvalidationWorldXA-20221206.png

Voor Europa ligt het gebruik van DNSSEC-validatie nu op ruim 40 procent. Ook daar zie je een toegenomen groei over het afgelopen jaar.

Grafiek van APNIC die het gebruik van DNSSEC-validatie in Europa laat zien van per 5 december 2022.
https://images.ctfassets.net/yj8364fopk6s/KVa1WLeRi0R8zO7RiKgCB/3d47544e004cf16837a9bf5a4a7cea42/APNIC-DNSSECvalidationEuropeXE-20221206.png

Nederland en de landen om ons heen

Met een adoptiegraad van ongeveer 60 procent zit Nederland ook voor wat betreft DNSSEC-validatie eindelijk op het niveau van de landen om ons heen. De Scandinavische landen doen het een stuk beter; de Zuid-Europese landen en GB/IE een heel stuk slechter.

Grafiek van APNIC die de mate van DNSSEC-validatie per land laat zien op een kaart van Europa en specifiek voor Nederland: 55,93%.
https://images.ctfassets.net/yj8364fopk6s/33G7mG2tflUs9PDasYcZmS/58f5f3bb7ee50100df41d82a411d6413/APNIC-DNSSECvalidationEuropeXEmapNL-20221206.png

Landcode

Percentage (%)

FI

95

CZ

89

DK

89

SE

88

NO

87

LU

81

CH

69

DE

67

NL

59

BE

49

PL

48

IE

42

PT

39

FR

34

IT

25

ES

18

GB

10

Niet onveilig maar wel kwetsbaar

Hoewel het originele DNS-systeem op dit moment niet onveilig is, is het weldegelijk kwetsbaar. DNS is een van de oudste internetprotocollen die we nog steeds gebruiken. De beveiliging ervan is desondanks pas relatief laat ontwikkeld.

Aanvalsmethoden [1] waren niet makkelijk uit te voeren en/of konden relatief makkelijk gepareerd worden, waarmee dergelijke aanvallen in de praktijk zeldzaam waren. Na lange tijd relatieve rust aan het DNS-front, zijn de afgelopen jaren echter nieuwe aanvalsmethoden [1, 2] gepubliceerd.

De beste verdediging tegen deze 'cache poisoning'-aanvallen is DNSSEC. Maar dan moeten we deze beveiligingstechnologie wel met z’n allen gaan gebruiken.