Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

SIDN introduceert incentive om gebruik van security.txt te stimuleren

Adoptie van security.txt vanuit de registrars

Rood waarschuwingssignaal boven het toetsenbord van een laptop
  • donderdag 14 maart 2024

Zoals het er nu naar uitziet voegen we vanaf de eerste helft van volgend jaar de toepassing van security.txt toe aan de Registrar Scorecard (RSC). Dat betekent dat we straks een financiële korting geven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt.

Met deze incentive-regeling ondersteunt SIDN het stimuleringsproject van de Vereniging van Registrars (VvR) voor de adoptie van security.txt. De VvR is in gesprek met Webpros en DirectAdmin voor de native ondersteuning van security.txt in de meest gebruikte hosting control panels. Daarnaast wordt een WordPress-plugin ontwikkeld voor eindgebruikers en zullen er best practices worden gedeeld met de achterban.

Security.txt is bijna 2 jaar geleden gestandaardiseerd als RFC 9116. Het betreft een relatief eenvoudig tekstbestand waarin organisaties hun 'vulnerability disclosure (CVD)'-beleid en contactpersonen kunnen publiceren. Groot voorstander (en gebruiker waar aanwezig) van security.txt is het Digital Trust Center (DTC), dat nu vaak veel werk heeft aan het vinden van de juiste ingangen voor hun notificaties over kwetsbare of gecompromitteerde systemen.

Alfredo Garcia Frias
Alfredo García Frias, relatiemanager SIDN

Belonen, promoten, trainen en automatiseren

"In de tweede helft van dit jaar beginnen we met de implementatie van de incentive en het promoten van security.txt," vertelt Alfredo Garcia Frias, relatiemanager bij SIDN. "De infrastructuur voor de nieuwe incentive-regeling is er al: Labs kan voor elk .nl-domein zien of security.txt beschikbaar is en wat daarin zit. De uitbreiding van de RSC-applicatie vraagt nog wel behoorlijk wat werk. Op dit moment werken we ook de details van de regeling zelf uit: wat willen we precies met hoeveel korting belonen?"

"Daarnaast is er al een korte e-learningmodule beschikbaar in SIDN Academy. Daarin werken we in 4 stappen uit hoe je tot de publicatie van een volwaardig security.txt-bestand komt. Vooralsnog zijn die modules alleen toegankelijk voor onze registrars, maar we kijken of we deze via de Internet.nl-testportal breed beschikbaar kunnen maken."

Verschillende deelprojecten

SIDN werkt voor de stimulering van security.txt nauw samen met de VvR, de aanjager van al deze initiatieven. Op dit moment is maar 2,2 procent van alle .nl-webdomeinen voorzien van een geldig security.txt-bestand. "Dat zijn alleen de early, early adopters," zegt Daniël Federer, die dit project bij de VvR trekt. "We weten van open standaarden dat een kritieke massa nodig is om het gebruik op gang te brengen. De incentive-regeling van SIDN is bedoeld als tijdelijke maatregel om de adoptie over die eerste drempel heen te tillen."

Vorig jaar heeft de VvR bij het SIDN fonds een aanvraag gedaan voor de financiering van 3 deelprojecten rondom security.txt:

  • native ondersteuning van security.txt in veelgebruikte hosting control panels als DirectAdmin, cPanel en Plesk, waarmee hosters aan de slag kunnen. Hierbij is gekozen om security.txt integraal onderdeel van deze pakketten te maken, zodat het onderhoud daarna ook bij de leveranciers ligt (dit in tegenstelling tot het onderhoud van een externe plugin). De VvR is inmiddels in gesprek met deze partijen over de implementatie van security.txt in hun software.

  • een plugin voor WordPress, het meest gebruikte open-source Content Management System (CMS). Hiermee worden zowel eindgebruikers van dit pakket als digital agency's geholpen. De hoop is dat deze plugin op termijn in de core van WordPress wordt opgenomen. Voor de functionaliteit van de plugin is aansluiting gezocht bij de security.txt-test die nu al onderdeel is van Internet.nl (security.txt staat sinds vorig jaar ook op de ptolu-lijst van het Forum Standaardisatie). Deze plugin doet meer dan alleen een rijtje invoervelden vertalen naar een security.txt-bestand om die vervolgens te publiceren (dit in tegenstelling tot de 2 al bestaande plugins voor WordPress). De inhoud wordt ook digitaal ondertekend en de gebruiker krijgt een waarschuwing als de geldigheidstermijn verloopt.

  • de ontwikkeling van best practices voor de toepassing van security.txt. Dit onderdeel wordt uitgevoerd door het DTC. Het idee is om registrars praktische implementatietips te geven voor de toepassing van security.txt op hun portfolio, eventueel in combinatie met de control panels.

Daniel Federer
Daniël Federer, business developer

Toegevoegde waarde

Deze subsidieaanvraag is in oktober toegekend door het SIDN fonds. "We hebben alle stakeholders bij dit initiatief betrokken," aldus Federer. "SIDN voor de incentive, het DTC en het NCSC als belangrijke gebruikers vanuit de overheid, Internet.nl voor de awareness, en de VvR zelf namens de registrars. Iedereen vond het een goed idee en iedereen levert een bijdrage."

"De toegevoegde waarde van security.txt ligt vooral bij de registrars, al zit deze functionaliteit meer aan hosting-zijde dan aan de DNS-kant." Daarbij benadrukt Federer dat deze standaard direct concrete meerwaarde oplevert. "Dat is anders dan bij DNSSEC bijvoorbeeld. De Kaminsky-aanval die destijds leidde tot de ontwikkeling van DNSSEC was vooral theoretisch, en nog steeds vinden ernstige DNS-aanvallen minder vaak plaats dan bijvoorbeeld plofkraken – om maar wat te noemen."

Security.txt biedt een simpele oplossing voor een veel voorkomend probleem. "Helemaal los van daadwerkelijke aanvallen blijkt de beveiliging van websites vaak stuk of lek te zijn doordat ze niet (goed genoeg) geüpdatet worden of niet goed geconfigureerd zijn. Dat kan met name voor zakelijke sites waar producten verhandeld worden, transacties plaatsvinden en persoonsgegevens worden verwerkt flinke schade opleveren. Bij detectie van kwetsbaarheden blijkt het heel moeilijk te zijn om de juiste mensen te bereiken. Dat maakt dat deze standaard geen theoretisch maar een belangrijk en zichtbaar doel nastreeft."

Benaderen individuele bedrijven

Portretfoto van Kim van der Veen, projectleider voor het Digital Trust Center bij het Ministerie van Economische Zaken en Klimaat
Kim van der Veen, projectleider voor het Digital Trust Center bij EZK

Het DTC, onderdeel van het ministerie van Economische Zaken, is een belangrijke voortrekker van de security.txt-standaard. Zij gebruiken de gepubliceerde contactinformatie voor hun notificaties, waarbij individuele bedrijven – van zzp-er tot grootbedrijf – proactief benaderd worden als ernstige kwetsbaarheden in hun systemen of concrete bedreigingen worden gemeld. Voorbeelden daarvan zijn kwetsbaarheden in 'Zimbra Collaboration'-omgevingen, verouderde 'Windows (Exchange)'-systemen en veiligheidsproblemen in het SMB-protocol.

"Onze dienst houdt in dat wij bedrijven mailen en bellen, waarschuwen voor specifieke cybersecuritybedreigingen en zo veel mogelijk handelingssperspectief aanreiken," zo vertelde projectleider Kim van der Veen eerder. "Dat laatste betekent bijvoorbeeld dat ze hun software moeten patchen of hun configuratie moeten aanpassen."

"De input voor die meldingen wordt bij ons aangeleverd door partijen die beschikken over doelwit- en slachtofferinformatie, waaronder het NCSC. In de meeste gevallen hebben we als startpunt alleen een IP-adres beschikbaar. Via Reverse DNS en andere verrijkingsmogelijkheden proberen we daar dan een domeinnaam bij te vinden. Daarna gaan we op de website op zoek naar een ingang voor onze melding. Als we mazzel hebben, vinden we dan het telefoonnummer van de receptie of een algemeen info-mailadres. Vervolgens moeten we maar hopen dat onze waarschuwing op de juiste plaats belandt en opvolging krijgt."

Veel winst te behalen

Waar het in 2022 nog om 4.600 meldingen ging, is dat aantal het afgelopen jaar verveelvoudigd. Vanaf de start in 2021 tot eind 2023 heeft het DTC op deze manier maar liefst 157 duizend meldingen verwerkt, veelal aangeleverd in de vorm van lijsten met IP-adressen. Vanwege al het handmatige uitzoekwerk en het belang van snel handelen, is gelijk duidelijk dat het DTC enorm geholpen is met de informatie in het security.txt-bestand. Vandaar dat zij na de standaardisatie als RFC 9116 een campagne zijn begonnen om het gebruik van security.txt te stimuleren. Voor ondernemers wordt in een paar stappen uitgelegd wat ze moeten doen, en voor IT-dienstverleners is er een aparte pagina beschikbaar waarin meer vermeld wordt over de informatievelden in het security.txt-bestand.

"Er is voor ons veel winst te behalen met het security.txt-bestand," aldus Van der Veen, "maar we wilden wachten tot de officiële RFC beschikbaar zou zijn. Wel hebben we samen met het NCSC tijdens de ontwikkeling van de RFC input en feedback geleverd. We hebben ons hard gemaakt voor de opname van deze standaard in de Internet.nl-testportal en gesuggereerd dat hij ook op de 'pas toe of leg uit'-lijst (ptolu) van Forum Standaardisatie zou worden geplaatst (dat is inmiddels het geval)."

Verdere adoptie

Hoewel de toepassing van security.txt de afgelopen 2 jaar sterk is gegroeid, is het gebruik op het totaal van alle .nl-webdomeinen nog heel beperkt. De grootste wens van het DTC is dan ook verdere adoptie van deze standaard. "De security.txt-bestanden helpen ons enorm om via mail of per telefoon het juiste contact of de juiste ingang voor onze meldingen te vinden," zegt Van der Veen. "Het gebruik is wel toegenomen, maar het gaat veel minder hard dan wij zouden willen. Security.txt is niet alleen voor ons van belang, maar ook voor security-onderzoekers, universiteiten en ethische hackers. En natuurlijk voor de organisaties die uiteindelijk op deze manier geïnformeerd worden over kwetsbaarheden en bedreigingen."

Grafiek die de adoptie van de internetstandaard security.txt binnen de .nl-zone per 15 januari 2024 laat zien. 2,2% van de zone bevatte op dat moment de standaard.
Adoptie van security.txt in de .nl-zone.
https://images.ctfassets.net/yj8364fopk6s/4NLT5ozqf3KHc84643M0UA/c0b407b3c848c894c890bef4a5c6ee91/SIDNLabsStats-security.txt-20240126.png

"Wij krijgen dagelijks lijsten met kwetsbaarheden en IP-adressen aangeleverd. Gaat het om ernstige dreigingen tegen grote organisaties, dan pakken we die handmatig op. Maar generieke kwetsbaarheden op grote aantallen kunnen we niet anders dan geautomatiseerd verwerken. Voor het achterhalen van de partij achter een IP-adres gebruiken we bestaande tooling en diensten. Zoekmachines als Shodan nemen inmiddels ook al het security.txt-bestand mee."

Digitaal weerbaarder

"Veel meldingen sturen we noodgedwongen naar de netwerkeigenaar," zegt Van der Veen. "Wat we hopen is dat zij die berichten vervolgens doorzetten naar hun klanten, maar dat gebeurt lang niet altijd. En zelfs als we wel de klant weten te bereiken, dan is het nog moeilijk om voorbij de servicedesk te komen en de IT-afdeling of directeur te bereiken."

Een van de redenen om notificaties niet door te zetten is natuurlijk dat veiligheidswaarschuwingen negatief kunnen afstralen op de dienstverlener. Maar je kunt het ook zien als een extra dienst. "Onze doelstelling is om Nederland digitaal weerbaarder te maken. Het mooist zou zijn als hostingbedrijven security.txt voor hun klanten inregelen, en daarbij zichzelf als ingang voor deze meldingen instellen. Dat kan bijvoorbeeld met een redirect voor alle hostingklanten. CMS-leveranciers en -hosters kunnen een default instellen die bijvoorbeeld wijst naar een HackerOne-pagina, waar security-onderzoekers en ethische hackers terecht kunnen voor het 'bug bounty en CVD'-programma."

Van der Veen benadrukt dat de meeste ontvangers heel positief zijn over de waarschuwingen. "Er staan feedbacklinks onder al onze notificaties. We horen natuurlijk graag of een waarschuwing nuttig was en of de ontvanger daar actie op heeft ondernomen. De reacties daarop zijn veelal positief."

In de VS en Duitsland is de adoptie van security.txt al aanzienlijk hoger dan hier in Nederland. Van der Veen verwacht de komende tijd echter een inhaalslag. "Nu security.txt op de ptolu-lijst staat, zullen aanbieders die aan overheden leveren deze standaard sowieso moeten ondersteunen."