Dit is de gearchiveerde site van het DNSSEC Kennisplatform (2012-2018).
Actuele informatie over DNSSEC vind je op https://sidn.nl/dnssec/.

Open internetstandaarden: overheden moeten aan de slag!

Gepubliceerd op 03-05-2016

In mei 2012 — precies vier jaar geleden — zette de Nederlandse overheid DNSSEC op de 'pas-toe-of-leg-uit'-lijst. Daarmee werden overheidsorganisaties min of meer verplicht om deze beveiligingsstandaard te gaan gebruiken. Na die goede eerste stap is de overheid echter achtergebleven met de daadwerkelijke implementatie van DNSSEC . Zo schrijft Michiel Henneke, marketing manager bij SIDN, in een blog posting. Van de 23 grootste overheidssites zijn er maar tien beveiligd met DNSSEC. Een lijn lijkt daarbij niet zichtbaar: rijksoverheid.nl is ondertekend, politie.nl niet.

Een eerdere inventarisatie liet ook al zien dat de overheid — samen met banken, grote ondernemingen en ISP's — sterk achterblijft ten opzichte van het gemiddelde. Inmiddels zijn 2,5 van de 5,6 miljoen .nl-domeinen (45 procent) van DNSSEC voorzien. Daarmee behoort Nederland wereldwijd tot de koplopers.

Hoopvol

Ondanks de constatering van Henneke wordt DNSSEC wel genoemd als snelle groeier in de onlangs verschenen 'Monitor Open Standaardenbeleid 2015'. Hetzelfde geldt voor DKIM, een authenticatie-systeem voor e-mail dat voorbouwt op DNSSEC.

Volgens de Monitor werd in 2015 in 25 procent van de relevante aanbestedingen gevraagd om DNSSEC, waar dat het jaar daarvoor nog maar 10 procent was. Naar DKIM is vorig jaar in 22 procent van de relevante gevallen expliciet gevraagd. De auteurs kwalificeren deze ontwikkeling als hoopvol. Hun conclusie: Inmiddels voldoet een kwart van de websites van overheden aan DNSSEC. Het aantal is nog steeds groeiende. De overheden lopen met deze score wel achter op het landelijk gemiddelde maar raken door eigen groei niet verder achterop.

| - ForumStandaardisatie-Monitor_OSb_2015_Definitief-screenshot-600x788.png

Kennissessie open internetstandaarden

Speciaal voor gemeenten die willen weten aan welke open standaarden zij moeten voldoen en hoe je deze standaarden implementeert, organiseert SIDN samen met Govroam en Forum Standaardisatie een kennissessie over dit onderwerp. Deze is gericht op gemeentelijke ICT-beleidsmakers en vindt plaats op 12 mei in Arnhem.

Het programma draait om de risico's van onveilig gebruik van e-mail en internet, en hoe internetstandaarden deze risico's kunnen beperken. Daarbij komen drie cases aan bod:

DMARC pilot van KING bij 30 gemeenten,
Govroam: veilige wifi-toegang voor medewerkers en gasten,
DNSSEC: het belang van je Domeinnaam ondertekenen en het valideren van DNSSEC.

Datum en tijd: donderdag 12 mei, 13:30-16:30, gevolgd door een borrel
Locatie: SIDN, Meander 501, Arnhem
Aanmelden: https://govroam.nl/12mei/

Terug naar het nieuwsoverzicht

Snel op de hoogte van DNSSEC:

Interessante Case Studies

Installatie trust anchor voor nieuwe root KSK

Op dit moment is ICANN bezig met de roll-over van het KSK-sleutelpaar van de DNS-root. Dat betekent dat ICANN het huidige cryptografische sleutelpaar dat de basis vormt voor de DNSSEC-infrastructuur (KSK-2010) vervangt door een nieuw sleutelpaar (KSK-2017).

Het eerste gedeelte van dit artikel behandelt de verschillende manieren waarop beheerders van validerende resolvers het publieke gedeelte van het nieuwe sleutelpaar als trust anchor op hun systemen kunnen installeren. Het tweede gedeelte richt zich specifiek op de handmatige update van het trust anchor en de automatische installatie via de update-functie van het operating system. De automatische installatie via DNSSEC zelf (op basis van RFC 5011) wordt in een follow-up artikel behandeld, tesamen met een overzicht van de meest gebruikte resolver software-pakketten en hun ondersteuning van deze feature.