DNSSEC "verplicht" voor overheidsorganisaties
Gepubliceerd op 22-06-2012
DNSSEC is eerder deze maand toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee worden overheidsorganisaties verplicht deze veiligheidsstandaard voor DNS te gebruiken, tenzij zij goede redenen hebben om dat niet te doen.
Eerder deze maand werd DNSSEC door het Forum en College Standaardisatie samen met een paar andere standaarden aan de 'pas toe of leg uit'-lijst toegevoegd. Dat is precies een maand na de landelijke uitrol van deze cryptografische veiligheidsvoorziening voor DNS. Daarmee zijn overheidsorganisaties nu min-of-meer verplicht hun domeinen en systemen met DNSSEC te beveiligen. Naar verwachting zal hierdoor de vraag naar DNSSEC-gesigneerde domeinen in Nederland sterk toenemen.
Pas toe of leg uit
De 'pas toe of leg uit'-lijst bevat open standaarden waarvan de overheid vindt dat zijn organisaties deze zouden moeten gebruiken. Hebben zij goede redenen om dat niet te doen, dan moeten zij dat met argumenten onderbouwen. Daarmee zouden zij wel de eis tot interoperabiliteit en toegankelijkheid van overheidssystemen, zoals ook vastgelegd in Europese richtlijnen (European Interoperability Framework, EIF), geweld aandoen. Het gebruik van open standaarden voorkomt immers dat organisaties middels technische lock-ins aan specifieke leveranciers gebonden worden. Bovendien mogen burgers en ondernemingen niet worden verplicht specifieke apparatuur en software aan te schaffen om digitale overheidsinformatie tot zich te kunnen nemen of elektronisch met de overheid te kunnen interacteren.
In het geval van DNSSEC waren met name beveiligingsargumenten van doorslaggevend belang. Volgens het Forum Standaardisatie "zorgt DNSSEC voor een beter beveiligd fundament van het internet. De standaard draagt ertoe bij dat identiteitsfraude en internetdiefstal inclusief bijbehorende kosten beter kunnen worden voorkomen."
Over DNSSEC
DNSSEC is een cryptografische beveiliging voor het DNS-protocol. Clients die deze uitbreiding ondersteunen (inmiddels al het merendeel), ontvangen van de name-server adres-informatie voorzien van een digitale handtekening. Zo worden de integriteit van de name-server en het transport van de DNS-informatie beschermd.
DNSSEC is voorwaarts compatibele. Dat wil zeggen dat nieuwe clients en servers voorzien van DNSSEC-ondersteuning gewoon (transparant) blijven samenwerken met bestaande systemen die deze uitbreiding nog niet ondersteunen, zij het dat in die gevallen de DNS-informatie niet versleuteld is.
