Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Vereniging van Registrars publiceert 'security.txt'-plugin voor WordPress

VvR, SIDN fonds en SIDN stimuleren adoptie van security.txt

Digitaal hangslot in een virtuele omgeving
  • donderdag 26 september 2024

Afgelopen maand heeft de Vereniging van Registrars (VvR) de 'security.txt'-plugin voor WordPress gepubliceerd. WordPress is het meest gebruikte open-source contentmanagementsysteem.

De WordPress-plugin maakt het aanzienlijk eenvoudiger om een 'security.txt'-bestand te publiceren. In dat bestand kunnen organisaties hun 'vulnerability disclosure (CVD)'-beleid en contactpersonen publiceren, waarmee de eigenaar van een website via een eenduidige ingang bereikbaar is voor veiligheidsgerelateerde meldingen.

"Dit project is een succes als het de adoptie van security.txt substantieel verhoogt. Die was in Nederland erg laag, terwijl het een hele nuttige standaard is. Security.txt helpt om het internet sterker te maken door de veiligheid te verbeteren."

Daniel Federer
Daniël Federer, business developer

De 'security.txt'-standaard is gedefinieerd in RFC 9116 en biedt een eenduidige manier voor organisaties om hun 'vulnerability disclosure'-beleid en contactpersonen te publiceren. Daartoe is een tekstformaat bedacht dat zowel voor machines als mensen leesbaar is en op de website gepubliceerd wordt in het bestand security.txt. Security-onderzoekers en white-hat (ethische) hackers kunnen de informatie in het security.txt-bestand gebruiken om te achterhalen wat het disclosure-beleid van de betreffende organisatie is en wie zij kunnen benaderen als zij een veiligheidsprobleem hebben ontdekt. Daarmee kunnen ontvangers van dergelijke meldingen sneller in actie komen en maatregelen treffen om schade te voorkomen of te beperken. Denk bijvoorbeeld aan een bedrijf waarvan gestolen bestanden te koop worden aangeboden op het dark web. Daarnaast is de verwachting dat de duidelijkheid en toegankelijkheid van security.txt bij brede adoptie ook zal leiden tot meer meldingen en minder incidenten.

Ondertekening en waarschuwing

Er bestonden al wel een paar plugins voor security.txt, maar die vereisen kennis van de open standaard en plaatste in een enkel geval het security.txt-bestand niet op de juiste plek. De plugin van de VvR verzamelt de al beschikbare contactinformatie en zorgt dat een websitebeheerder zonder kennis van de standaard het security.txt-bestand aan de site kan toevoegen. De plugin kan het bestand ook gelijk ondertekenen (als GnuPG ingeschakeld is). Bovendien geeft de plugin een herinnering als de geldigheid van het bestand bijna verlopen is.

Bij de ontwikkeling van de plugin is aansluiting gezocht bij de Internet.nl-testportaal. De portal is een initiatief van het Platform Internetstandaarden en heeft als doel om de adoptie van een hele reeks moderne internet(beveiligings)standaarden te stimuleren, waaronder ook security.txt. Op de portal kun je web- en mail-domeinen testen op de toepassing van de belangrijkste open standaarden, alsook je eigen internetverbinding. De uitkomst is een uitgebreid verslag van de bevindingen en een score tussen de 0 en 100 procent. Het verslag kan gebruikt worden om ontbrekende standaarden of defecte implementaties aan te pakken. De score kun je gebruiken om de voortgang bij de implementatie van de standaarden te meten.

De interface van de WordPress-plugin bevat een knop waarmee de configuratie van security.txt gelijk getest kan worden.

Screenshot van de interface van de WordPress-plugin voor de internetstandaard security.txt.

Figuur 1: Screenshot van de interface van de WordPress-plugin voor de internetstandaard security.txt.

Hosting control panels en best practices

De ontwikkeling van de WordPress-plugin is gefinancierd door SIDN fonds. Andere deelprojecten zijn de native ondersteuning van security.txt in veelgebruikte web hosting control panels als DirectAdmin, cPanel en Plesk, en de ontwikkeling van best practices voor de toepassing van security.txt.

Native ondersteuning voor security.txt is deze zomer toegevoegd aan Directadmin (vanaf versie 1.664) en Plesk (vanaf versie 18.0.61). Deze control panels worden door hosters gebruikt om de webgerelateerde diensten voor hun klanten te configureren en te beheren. Native ondersteuning betekent in dit geval dat de setup van security.txt integraal onderdeel uitmaakt van de software en hosters de toepassing ervan voor hun klanten per default kunnen aanzetten. Het 'security.txt'-bestand wordt gegenereerd (en vervolgens gepubliceerd) op basis van informatie opgegeven in de beheerdersinterface. Directadmin voorziet bovendien in een 'Security.txt Report'-pagina, die voor elke website de beschikbaarheid van het 'security.txt'-bestand aangeeft.

Op dit moment wordt nog gesproken met de ontwikkelaars van ISPConfig en cPanel over de ondersteuning van security.txt in hun software. Van die 2 heeft ISPConfig al aangegeven deze feature inderdaad te willen toevoegen.

Sterk internet

Mieke van Heesewijk, programmamanager bij SIDN fonds

Het security.txt-project valt onder de pijler 'Sterk internet' van SIDN fonds, een van de 3 aandachtsgebieden naast 'Sterke internetgebruikers' en 'Internet en maatschappij'. Bij ondersteuning onder 'Sterk internet' gaat het meestal om open-sourceprojecten die via het eigen netwerk van SIDN fonds binnenkomen. "We hebben meerdere financieringsinstrumenten," legt programmamanager Mieke van Heesewijk uit. "Naast het pioniersinstrument, waarvoor iedereen altijd een aanvraag kan indienen, schrijven we themacalls uit en scouten we ook projecten. De aanvragen onder 'Sterk internet' gebeuren veelal op uitnodiging. Daarvoor scouten we initiatieven uit ons eigen netwerk. Dat geldt ook voor dit project van de VvR, dat voor ons dicht bij huis lag."

Voor deze toekenning zijn geen harde doelstellingen vastgelegd voor wat betreft het aantal implementaties van security.txt. "Dit project is een succes als het de adoptie van security.txt substantieel verhoogt. Die was in Nederland erg laag, terwijl het een hele nuttige standaard is. Security.txt helpt om het internet sterker te maken door de veiligheid te verbeteren. De samenwerking tussen de VvR, SIDN en SIDN Labs, en de betrokkenheid van andere stakeholders als Internet.nl en Digital Trust Center [DTC, een initiatief van het ministerie van Economische Zaken om het Nederlandse bedrijfsleven weerbaarder te maken tegen digitale bedreigingen], maken dit een mooi project voor het fonds." Volgens Van Heesewijk is er ook nog ruimte voor de ontwikkeling van plugins voor andere contentmanagementsystemen dan WordPress, mocht daar behoefte aan zijn.

Financiële incentive

Naast de al besproken 'security.txt'-plugin voor WordPress en de native ondersteuning van security.txt in de control panels, bevat dit project nog een derde onderdeel om de adoptie van deze standaard te bevorderen. Het streven van SIDN is om vanaf 2025 een financiële incentive voor de toepassing van security.txt op te nemen in de Registrar Scorecard (RSC). Dat betekent dat de .nl-registrars straks een kickback krijgen op .nl-domeinnamen waarvan de website een valide 'security.txt'-bestand bevat. In de grafiek hieronder kun je zien dat dat nu (september 2024) maar voor 2,5 procent van de websites onder .nl het geval is.

Van open standaarden is bekend dat een kritieke massa nodig is om het gebruik op gang te brengen. De incentiveregeling van SIDN is bedoeld als tijdelijke maatregel om de adoptie van specifieke standaarden over die eerste drempel heen te tillen. De regeling maakt het voor registrars mogelijk om aan de slag te gaan met open standaarden die het internet een stukje veiliger maken maar waarvan de waarde zich niet direct laat vertalen naar een prijs of een dienst waarvoor eindgebruikers extra willen betalen.

SIDN wil de individuele metingen voor het vierde kwartaal van dit jaar aan het dashboard toevoegen, zodat registrars alvast aan de slag kunnen voordat de incentive volgend jaar daadwerkelijk van start gaat. De eerste uitkering kan dan halverwege volgend jaar gedaan worden. Hoe hoog de kickback precies gaat worden, wordt komende maanden bepaald.

Grafiek die laat zien dat op 15-08-2024 is 2,5% van de .nl-zone is voorzien van de internetstandaard security.txt.
Figuur 2: De adoptie van security.txt in de .nl-zone per 15 augustus 2024 (Bron: stats.sidnlabs.nl)
https://images.ctfassets.net/yj8364fopk6s/4jG5W126sGIBdOOwetaaub/09d3cb6cb2d953dba6c2daad753e0374/stats.sidnlabs.nl-security.txt-20240909.png

Aandacht

Dit najaar zullen in ieder geval de VvR, SIDN fonds en SIDN aandacht vragen voor het gebruik van security.txt. Bijvoorbeeld de afgelopen Dag van de Domeinnaam, op dinsdag 24 september, was daar een mooie gelegenheid voor. Daarnaast zoekt de VvR contact met andere partners, waaronder DTC, de Dutch Institute of Vulnerability Disclosure (DIVD, een initiatief vanuit de Nederlandse securitygemeenschap om waarschuwingen te sturen naar beheerders van sites die kwetsbaar zijn voor bekende aanvallen) en Internet.nl. Deze partijen vragen doorlopend aandacht voor open standaarden en beveiligingsmaatregelen. We hopen dat ze de komende tijd ook een duidelijke stijging zien in de adoptie en het gebruik van security.txt.

"Met het security.txt-project leveren we niet alleen toegevoegde waarde voor onze leden en achterban maar werken we ook samen met SIDN, SIDN fonds en andere stakeholders aan een veiliger internet, waarin partijen elkaar sneller en gemakkelijker kunnen vinden," zegt Berend van Dalfzen, voorzitter van de VvR. "Dat maakt dit initiatief een klassieke win-win-win voor de registrars, de registry en de lokale internetgemeenschap."

Leer in 8 minuten alles over security.txt

Met security.txt is er nu een eenduidige manier om (contact)informatie voor het melden van veiligheidsproblemen te publiceren. In de microlearning over security.txt van de SIDN Academy krijg je in 8 minuten uitleg over hoe je dit bestand opstelt, waar je het uploadt en op welke manier security.txt bijdraagt aan een solide disclosurebeleid. De SIDN Academy is gratis beschikbaar voor .nl-registrars.

Dit draagt bij aan duurzaamheidsdoel(en):

  • 9. Industrie, innovatie en infrastructuur
  • 17. Partnerschap om doelstellingen te bereiken
Lees hier meer over de Duurzame Ontwikkelingsdoelstellingen.