Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Betrouwbaarheid overheidsinformatie van cruciaal belang

Deze zomer is DNSSEC toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee zijn overheidsorganisaties nu verplicht deze veiligheidsstandaard te gebruiken. Alleen als zij goede redenen hebben om dat niet te doen, mogen zij daar van afwijken. DNSSEC vormt een belangrijk fundament onder een veilige elektronische overheid. Vandaar dat het College Standaardisatie deze standaard zo snel na de introductie in Nederland op de 'pas toe of leg uit'-lijst heeft opgenomen. Overheidsorganisaties zijn nu verplicht hun domeinen te ondertekenen en de validatie van ondertekende domeinen op hun systemen te implementeren.

Het domein rijksoverheid.nl werd al snel na de brede introductie van DNSSEC voor .nl-domeinen dit voorjaar beveiligd. Inmiddels zijn ook government.nl en forumstandaardisatie.nl van DNSSEC voorzien. Naar verwachting zullen de komende tijd meer overheidsdomeinen volgen.

rijksoverheid.nl

We waren er inderdaad vroeg bij. vertelt Gerrit Berkouwer, senior adviseur online media bij de Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken. De Nederlandse rijksoverheid heeft alle Nederlanders als doelgroep op internet. Daarbij is de betrouwbaarheid van informatie van groot belang. De beveiliging van websites en applicaties moet dus goed geregeld zijn en DNSSEC is daar een schakel in.

Einde aan de vrijblijvendheid

Op dit moment zijn er pas drie van de meer dan duizend domeinnamen van de rijksoverheid beveiligd. Website-eigenaren of opdrachtgevers bij de rijksoverheid beslissen zelf of zij DNSSEC willen toepassen, aldus Berkouwer. Wij denken vanuit DPC wel mee met de opdrachtgevers.

Aan die vrijblijvendheid is deze zomer echter een eind gekomen. Onlangs werd DNSSEC namelijk toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee worden overheidsorganisaties verplicht deze veiligheidsstandaard te gebruiken, tenzij zij goede redenen hebben om dat niet te doen.

Ondersteuning DNSSEC

Aan DPC zal het in ieder geval niet liggen; zij hebben alle faciliteiten voor de ondersteuning van DNSSEC op orde. De registratie en het beheer van domeinnamen voor de rijksoverheid wordt door ons centraal uitgevoerd. Het dagelijkse technisch beheer van de domeinnamen word door een externe partij gedaan, wel onder onze regie.

Wij hebben samen met deze dienstverlener stap voor stap een testtraject voor DNSSEC doorlopen, vervolgt Berkouwer. Daarbij zijn eigenlijk geen grote problemen opgetreden. De oplossing is dus om een goede dienstverlener in te zetten die het leveren van kwaliteit voorop stelt. Dat geldt ook voor ons zelf: veiligheid is voor het Platform Rijksoverheid Online van het grootste belang en een van de succesfactoren waarop we kwaliteit willen behalen.

Pas toe of leg uit

Het kabinet stelt open standaarden als norm. Voor de (semi-)publieke sector geldt sinds 2009 het 'pas toe of leg uit'-regime: overheden zijn verplicht om bij de aanschaf van ICT-systemen te kiezen voor de relevante standaarden van de lijst. Dat regime is voor de Rijksoverheid vastgelegd in een Rijksinstructie en in de Rijksbegrotingsvoorschriften. Voor gemeenten, provincies en waterschappen is die verplichting vastgelegd in bestuursakkoorden en in de begrotingsvoorschriften voor gemeentes en provincies.

Uitgangspunt voor opname in de 'pas toe of leg uit'-lijst is dat een standaard open moet zijn. Dat betekent dat de specificatie gratis of tegen een kleine vergoeding beschikbaar moet zijn, dat de standaard op een open manier tot stand komt, dat deze door een onafhankelijke, professionele organisatie wordt beheerd, en dat er geen royalties voor intellectueel eigendom mogen worden gevraagd. Open standaarden sluiten niemand uit en zijn dus van en voor iedereen. Ze bieden een infrastructuur. Elke software-leverancier kan een open standaard implementeren in haar software. Het gaat erom dat leveranciers concurreren óp de standaard en niet óm de standaard. Op die manier wordt een vendor lock-in via gegevensformaat, software of intellectueel eigendom voorkomen, en worden houdbaarheid en interoperabiliteit gegarandeerd.

Het beleid van de Nederlandse overheid sluit aan bij het Europese beleid rondom interoperabiliteit en toegankelijkheid van overheidssystemen zoals dat onder meer is vastgelegd in het European Interoperability Framework (EIF). Het gebruik van open standaarden voorkomt immers dat organisaties middels technische lock-ins aan specifieke leveranciers gebonden worden. Bovendien mogen burgers en ondernemingen niet worden verplicht specifieke apparatuur en software aan te schaffen om digitale overheidsinformatie tot zich te kunnen nemen of om elektronisch met de overheid te kunnen interacteren.

Forum en College Standaardisatie

Het College en Forum Standaardisatie zijn in 2006 door het kabinet ingesteld. Zij bevorderen de interoperabiliteit bij de Nederlandse overheid. Het Forum Standaardisatie is een adviesorgaan van ongeveer vijftien deskundigen op bestuurlijk niveau uit overheid, bedrijfsleven en wetenschap. Het Forum rapporteert aan het College Standaardisatie, dat bestaat uit diverse hoge ambtenaren, ambtelijke vertegenwoordigers van ministeries, provincies, gemeentes en waterschappen.

Standaardisatie van gegevensuitwisseling biedt veel economische voordelen. Je moet dat samen doen. De voordelen zijn er namelijk pas als iedereen of in ieder geval veel organisaties hun koppelvlakken op eenzelfde manier inrichten. Dat gaat helaas niet vanzelf. College en Forum faciliteren dit proces binnen de overheid. Dat zegt Bart Knubben, werkzaam voor Bureau Forum Standaardisatie. Dat bureau ondersteunt het College en Forum Standaardisatie en is ondergebracht bij Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

De 'pas toe of leg uit'-lijst is een cruciaal onderdeel van het overheidsstreven naar interoperabiliteit. Overheden en semi-publieke organisaties zijn verplicht de standaarden op de lijst toe te passen in aanschaftrajecten. Alleen als ze een hele goede reden hebben om hier van af te wijken, kunnen ze voor een andere standaard kiezen. Ze moeten die keuze dan wel verantwoorden in het jaarverslag.

Veilige elektronische overheid

DNSSEC vormt een belangrijk fundament onder een veilige elektronische overheid. Vandaar dat het College Standaardisatie deze standaard, na een zorgvuldige toetsingsprocedure, snel na de introductie in Nederland op de 'pas toe of leg uit'-lijst heeft opgenomen. Overheidsorganisaties zijn nu verplicht hun domeinen te ondertekenen en de validatie van ondertekende domeinen op hun systemen te implementeren. Alleen interne systemen die niet direct op het internet zijn aangesloten hoeven niet aan die eis te voldoen.

Inmiddels zijn de eerste overheidsdomeinen ondertekend, waaronder rijksoverheid.nl. Vanwege de opname van DNSSEC in de 'pas toe of leg uit'-lijst verwacht Knubben dat het aantal beveiligde overheidsdomeinen snel zal groeien. Via de whois van SIDN kan een overheidsorganisatie eenvoudig zelf controleren of zijn Domeinnaam al DNSSEC ondersteunt. Als dat nog niet het geval is, kan een overheid actief bij zijn domeinnaambeheerder (registrar) vragen per wanneer DNSSEC wordt ondersteund. Als dat te lang duurt, dan kan de overheidsorganisatie zijn domeinnaam verhuizen naar een van de vele registrars die wel DNSSEC-ondersteuning bieden. Voor Rijksoverheden is het helemaal eenvoudig om voor hun domeinnamen DNSSEC in te regelen. Zij zijn namelijk al verplicht om domeinnamen onder te brengen bij 'Rijksregistrar' Dienst Publiek en Communicatie (DPC) van het Ministerie van Algemene Zaken. DPC biedt ondersteuning voor DNSSEC. Daarnaast wordt gewerkt aan DNSSEC-validatie op de DNS -server van het rijk.

In samenwerking met SIDN, de beheerder van het .nl top-level domein, onderneemt Forum Standaardisatie verschillende aanvullende activiteiten om de adoptie van DNSSEC te bevorderen. Onlangs is bijvoorbeeld een webinar 'DNSSEC voor overheidsdomeinnamen' georganiseerd. De adoptie van DNSSEC bij de overheid wordt samen met SIDN in de gaten gehouden.

Enorme voorsprong

Sowieso doet Nederland het enorm goed bij de implementatie van DNSSEC. Inmiddels zijn meer dan één miljoen (van de ruim vijfmiljoen) .nl-domeinen beveiligd. Daarmee heeft Nederland wereldwijd veruit het hoogste aantal ondertekende domeinen en hebben we een enorme voorsprong genomen op alle andere top-level domeinen.