Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

DNSSEC-adoptie bij overheden stagneert, ondanks verplichtingen en beloften

Gepubliceerd op 28-11-2017

De groei in de toepassing van DNSSEC op Nederlandse overheidssites is snel afgenomen, zo blijkt uit de laatste 'meting Informatieveiligheidsstandaarden' van Forum Standaardisatie. In een jaar tijd is de adoptie gegroeid van 44 naar 66 procent (in juli 2017). Halverwege die periode stond de teller echter al op 61 procent. Daarmee doet DNSSEC het van alle zes gemeten standaarden nu het slechtst.

| - ForumStandaardisatie-20170926.08.02-adoptie-600x345.png

De belofte van voormalig Minister van Binnenlandse Zaken Ronald Plasterk om uiterlijk eind 2017 DNSSEC en de andere internet-beveiligingsstandaarden op de 'pas toe of leg uit'-lijst bij alle gemeenten te hebben geïmplementeerd is dan ook onhaalbaar.

Hoewel men in de rapportage aangeeft geen oorzaak voor de afname aan te kunnen wijzen, is er volgens Bart Knubben, projectmanager bij Forum Standaardisatie, met name op gebied van software en tooling nog veel te winnen.

Problematische aanbestedingen

In een recente blog post echter maakt Wido Potters, commercieel manager bij BIT, zich boos over overheden en leveranciers die zich niet aan de aanbestedingsregels houden. Voor projecten onder de 50 duizend euro hoeft de 'pas toe of leg uit'-lijst sowieso niet gevolgd te worden. De overheid vindt digitale veiligheid dus wel belangrijk, maar niet als het om goedkope systemen gaat. Maar ook over kleine/goedkope systemen gaan datastromen die een groot maatschappelijk of economisch belang vertegenwoordigen of die de privacy van burgers raken.

Maar ook voor aanbestedingen boven die grens worden volgens Potters de regels vaak genegeerd of omzeild. Zo kunnen leveranciers aangeven dat DNSSEC op speciaal verzoek of in de toekomst geleverd kan worden, waarmee dat in de praktijk nooit gebeurt. Overheden blijven desondanks voor de laagste prijs kiezen.

Wetgeving

Ondertussen wordt zowel hier als in de Verenigde Staten gewerkt aan meer regelgeving op dit gebied. In het huidige voorstel voor de nieuwe Wet GDI (generieke digitale infrastructuur) is de mogelijkheid opgenomen (in artikel 2) dat bepaalde open standaarden bij Algemene Maatregel van Bestuur verplicht kunnen worden gesteld.

Ook de laatste draft van de NIST Special Publication 'Trustworthy Email' bespreekt de centrale rol van DNS onder mail-beveiligingsstandaarden als DKIM, SPF, DMARC en DANE. DNSSEC-ondertekening en -validatie is daarbij een verplicht onderdeel voor alle domeinnamen en servers. Zonder DNSSEC ontbreekt immers de veilige basis onder die applicatie-specifieke beveiligingsprotocollen.

Terug naar het nieuwsoverzicht

Snel op de hoogte van DNSSEC:

Interessante Case Studies

Greenhost gebruikt KNOT voor ondertekening tienduizend domeinen

Deze zomer heeft hosting provider Greenhost DNSSEC op zijn name servers geïmplementeerd. In totaal heeft het bedrijf circa tienduizend domeinnamen onder zijn hoede, waarvan er zo'n zesduizend onder .nl vallen. Inmiddels zijn 9500 domeinnamen ondertekend, voor alle top-level domeinen waarvoor DNSSEC beschikbaar is. Greenhost is daarvoor van BIND named overgestapt naar de KNOT DNS-server.

Greenhost richt zich van origine op duurzaamheid, vertelt CTO en eigenaar Mart van Santen. Niet veel later zijn daar digitale privacy en burgerrechten bij gekomen. Vandaar dat wij relatief veel stichtingen, activisten en journalisten als klant hebben. Denk aan Article 19 en Free Press Unlimited. In die context zijn we bewust bezig met de veiligheid en privacy van onze klanten. Zij vragen dan ook geregeld naar specifieke diensten als IPv6, DANE en Let's Encrypt. Wat dat betreft verwachten zij meer van ons dan bij de gemiddelde hoster. Zo werken wij nu aan de implementatie van Let's Encrypt voor alle domeinen. Deze dienst staat gepland voor lancering deze herfst.