Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

SIDN schakelt .nl-zone om van DNSSEC-algoritme nummer 8 naar nummer 13

ECDSA maakt DNSSEC-beveiliging efficiënter en sneller

Hangslot met sleutelgat in digitale omgeving
  • donderdag 29 juni 2023

De .nl-zone wordt dit jaar overgezet naar een nieuw algoritme voor DNSSEC, de cryptografische beveiliging voor het Domein Naam Systeem (DNS). Daarmee voldoet de .nl-zone dan weer aan de laatste aanbevelingen op dit gebied. Zowel domeinnaamhouders als eindgebruikers ondervinden naar verwachting geen hinder van deze overgang. Het nieuwe algoritme wordt al jaren ondersteund door alle actuele DNS-servers en -resolvers.

Cryptografische beveiliging

DNSSEC is een cryptografische beveiliging van DNS. Daarbij worden digitale handtekeningen ingezet om de authenticiteit van DNS-antwoorden te waarborgen.

Houders en operators van domeinnamen ondertekenen daartoe de informatie (RRsets) in hun zonefile. Die digitale handtekeningen worden dan (desgevraagd) door de DNS-server met zijn antwoorden meegegeven (in de vorm van een RRSIG-record).

Eindgebruikers (en cachende resolvers) kunnen die handtekeningen vervolgens gebruiken om de inhoud van de antwoorden op echtheid te controleren. Bij deze validatie wordt gebruikgemaakt van een keten van publieke sleutels en digitale handtekeningen die helemaal terugloopt tot aan de root zone: de zogenaamde chain of trust.

Aanbevelingen

Voor de digitale handtekeningen zijn verschillende algoritmen beschikbaar, in een lijstje bijgehouden door IANA. In de loop der tijd vallen bestaande algoritmen af (deprecated, want verouderd of onveilig) en komen er nieuwe algoritmen bij.

Volgens RFC 8624 wordt de toepassing van algoritme nummer 13 ('ECDSA Curve P-256 with SHA-256') nu aangeraden. Algoritme nummer 8 (RSA/SHA-256) was lange tijd de standaard en wordt inmiddels langzaam uitgefaseerd ten gunste van de ECDSA-gebaseerde algoritmen.

Planning

Het volgen van deze aanbeveling – dat wil zeggen: overschakelen van algoritme nummer 8 naar nummer 13 – is dus precies wat wij de komende weken gaan doen voor de .nl-zone. Daarbij timen we de algoritme-rollover zodanig dat deze niet interfereert met de reguliere rollovers van het ZSK-sleutelpaar. Het aantal RRSIG-records verdubbelt tijdens de eerste rollover – je hebt bij de overgang immers tijdelijk voor elke RRset 2 verschillende handtekeningen (een per ZSK-sleutelset). Een extra rollover hieroverheen levert minstens nog een set RRSIG-records op, waarmee deze exercitie te geheugenintensief zou worden. Op dit moment zitten we in de aanloop naar die overstap. De planning is inmiddels vastgesteld en gepubliceerd. Op diezelfde pagina zullen we ook regelmatig updates plaatsen.

Zoals je in onderstaande grafiek kunt zien, wordt algoritme nummer 13 inmiddels door vrijwel alle validerende resolvers ondersteund. Dat betekent dat deze overstap voor zowel domeinnaamhouders als eindgebruikers zeer waarschijnlijk ongemerkt zal verlopen. Wat dat betreft blijft deze transitie hopelijk vooral een technisch-administratieve aangelegenheid voor onszelf.

Efficiënter en sneller

Hoewel algoritme nummer 8 op dit moment zonder meer veilig is, zijn er toch hele goede redenen om voor DNSSEC naar nummer 13 over te stappen. Algoritme nummer 13 (en 14) maken gebruik van ECDSA-gebaseerde public-key cryptografie. Deze versleuteling heeft belangrijke voordelen ten opzichte van RSA-gebaseerde cryptografie (zoals die onder andere wordt gebruikt in algoritme nummer 8). ECDSA op hetzelfde veiligheidsniveau gebruikt veel kortere sleutels en handtekeningen dan RSA, en handtekeningen zijn veel sneller te berekenen. Alleen bij het valideren van de handtekeningen is RSA (veel) sneller dan ECDSA.

We hebben over dit alles onlangs een uitgebreid artikel gepubliceerd. Maar je vindt deze informatie ook in onze 'DNSSEC veelgestelde vragen'.

Stap ook over!

Deze overstap naar een moderner DNSSEC-algoritme is ook van belang voor houders van domeinnamen en operators van autoritatieve nameservers. De aanbeveling om van algoritme nummer 8 (of een ander ouder algoritme) naar nummer 13 over te stappen geldt immers voor DNSSEC-gebruikers op alle DNS-niveaus. Ben je houder of operator, kijk dan welk algoritme je op dit moment gebruikt voor de ondertekening van je zone(s), en doe indien nodig een rollover naar nummer 13.

In de grafiek hieronder kun je zien dat inmiddels 58 procent van de DNSSEC-beveiligde .nl-domeinnamen op algoritme nummer 13 zit. De andere 42 procent maakt nog gebruik van algoritme nummer 8 en moet op korte termijn overstappen naar nummer 13.

Grafiek met de gebruikte algoritmes in de .nl-zone
https://images.ctfassets.net/yj8364fopk6s/3jjC06jOaUqMRVuMoWajsL/ca5c1becbab2d58cd7b43e425eb1fc7e/stats.sidnlabs.nl-DNSSECalgoritmes-20230515.png