SIDN: bijna zestig procent .nl-domeinen maakt gebruik van dnssec

Bijna zestig procent van alle .nl-domeinen maakt gebruik van dnssec. Dat meldt Stichting Internet Domeinregistratie Nederland. SIDN zegt wel dat de toename in het gebruik van de beveiligingsextensie de afgelopen jaren stagneerde.

Eind vorig jaar gebruikte ongeveer 58 procent van alle .nl-domeinen dnssec. SIDN zegt dat de toename van het aantal .nl-domeinen met dnssec-beveiliging doorzet, maar inmiddels wel afvlakt. Volgens de stichting groeide het aandeel van met dnssec beveiligde .nl-domeinnamen de afgelopen vier jaar met één tot twee procentpunt per jaar.

SIDN probeert het gebruik van de beveiligingsextensie al enige tijd te stimuleren door registrars korting op .nl-domeinen te geven als ze dnssec gebruiken. Die regeling wordt inmiddels afgebouwd, hoewel de stichting later met een bredere regeling wil komen om ook de adoptie van andere nieuwe standaarden te stimuleren. Vanaf komend jaar wordt het gebruik van dnssec een randvoorwaarde om überhaupt in aanmerking te komen voor dergelijke stimuleringen, die SIDN bijvoorbeeld biedt voor het gebruik van veilige e-mail en IPv6.

Verder zijn ongeveer 60 procent van alle binnenkomende query's op de autoritatieve nameservers voor .nl-domeinen afkomstig van resolvers die dnssec-records kunnen valideren. Het gaat daarbij om wereldwijde resolvers, en dus niet alleen om resolvers uit Nederland. Grote cloudleveranciers als Amazon, Cloudflare, Google en Microsoft zijn verantwoordelijk voor een groot aandeel daarvan. Daarmee zijn de meeste dnssec-query's van .nl-domeinen afkomstig van resolvers uit de VS, met een aandeel van 25 procent. Slechts 10 procent van de resolvers bevindt zich in Nederland, meldt SIDN.

Dnssec is een extensie die cryptografische beveiliging toevoegt aan het dns-protocol. Dns-records worden daarmee digitaal ondertekend, zodat clients kunnen controleren of deze records valide zijn. Dat moet gebruikers onder meer beschermen tegen dns-spoofing en man-in-the-middleaanvallen.

Reacties (30)

Sjeefr 23 februari 2023 13:57

Als ik een domein afneem, bijv. via Vimexx, maar hetzelfde geldt voor de grotere zoals een TransIP, moet dat DNSSEC geregeld worden door mij of doen hosting providers dat voor je? Nu zit ik niet te springen om aanpassingen te maken, maar toch even benieuwd of mijn 'nalatigheid' gerelateerd is aan het percentage.

Edit: n.a.v. @Louw Post's suggestie mijn domeinen gecontroleerd en geconcludeerd dat Vimexx in ieder geval nog geen gebruik maakt van DNSSEC.

[Reactie gewijzigd door Sjeefr op 22 juli 2024 14:43]

Louw Post

@Sjeefr • 23 februari 2023 14:08

Hosting provider regelt dat zover ik weet in de meeste gevallen. Je kan het ook makkelijk checken op internet.nl

@Sjeefr Ik zie zojuist je update. Ik heb zelf ook mijn domeinen bij Vimexx (met hun webhosting), maar voor mij is DNSSEC wel actief.

[Reactie gewijzigd door Louw Post op 22 juli 2024 14:43]

teek2

@Louw Post • 23 februari 2023 15:05

https://www.whatsmydns.net/dnssec-check

Mijn 2 vimexx domeinen geven allebei "yes", eentje bij Previder zegt "signedDelegation" (betekend ook yes volgens mij)

Edit, ik dacht waarom niet gelijk een link erbij, maar er staat idd https://internet.nl/, ik dacht even dat je gewoon bedoelde "op internet".

[Reactie gewijzigd door teek2 op 22 juli 2024 14:43]

theduke1989 @Louw Post • 24 februari 2023 06:32

Is alleen zonde voor .nl domeinen.
Ik heb ook twee websites bij vmexx draaien maar zijn geen .nl domein en heb het dus niet.

djiwie @Sjeefr • 23 februari 2023 14:23

De hostingprovider doet dat vrijwel altijd voor je, tenzij je een antieke partij hebt of wanneer de registrar niet dezelfde partij is als degene die je DNS host (bijvoorbeeld als je via Cloudflare draait). Maar een TransIP en de andere grote registrars doen dat gewoon voor je inderdaad.

mdavids @djiwie • 23 februari 2023 19:07

bijvoorbeeld als je via Cloudflare draait

Kleine nuance; Cloudflare kan prima DNSSEC aanzetten op je domeinnaam, maar in het geval van .nl-domeinnamen kunnen ze niet de vertrouwensketen compleet maken.

Daarvoor is nog een handmatige handeling nodig; de domeinnaamhouder moet de zogenaamde DNSKEY invoeren bij de partij waar 'ie de domeinnaam heeft geregistreerd (de 'registrar'). Dan moet die registrar dat wel ondersteunen, maar dat doen alle grote registrars zo'n beetje wel.

EdwinB @Sjeefr • 23 februari 2023 18:52

Zoals Vimexx het zelf uitlegt: https://www.vimexx.nl/hel...ec-en-waar-dient-het-voor

Vimexx maakt weldegelijk gebruik van DNSSEC, maar wel alleen op de .NL domeinen. Ik heb vijf domeinen daar gehost staan waarvan één .net en die heeft idd geen DNSSEC en de .nl domeinen wel.

Xsion 23 februari 2023 13:48

Het wordt tijd dat Azure DNSSEC gaat ondersteunen...

supersnathan94

Internet

@Xsion • 23 februari 2023 17:55

Ik verbaas me steeds over een aantal zaken bij de grote cloudproviders op het gebied van internet security standaarden. Zo ook bij AWS. Je kunt geen RSA 4096 bit signed certificaten gebruiken voor SSL op een ELB (loadbalancer). Kostte me weer een dag uitzoekwerk waarom het maar niet werkte.

Sfynx @supersnathan94 • 23 februari 2023 19:54

Azure is bijna overal laat bij in mijn ervaring....

Bij Google Cloud is DNSSEC letterlijk een toggle op je DNS zone, al vele jaren lang sinds dat ik me herinner... waarna je letterlijk verteld wordt wat bij je domeinboer (NS, DS e.d.) moet inregelen.

Bij AWS waren ze er laat bij en is het wat bewerkelijker omdat je zelf keys moet maken, maar dat functioneert ook prima inmiddels.

Laurens-R @Xsion • 23 februari 2023 14:17

Ik dacht toen ik je reactie las “dat kan niet kloppen!”… een google opdracht verder: wtf!

Azure DNS ondersteunt momenteel geen DNSSEC. In de meeste gevallen kunt u de behoefte aan DNSSEC verminderen door steeds HTTPS/TLS te gebruiken in uw toepassingen. Als DNSSEC een essentiële vereiste is voor uw DNS-zones, kunt u deze zones hosten met externe DNS-hostingproviders.

Wil je alles consolideren op Azure, zit je alsnog met externe dns providers te prutsen…

[Reactie gewijzigd door Laurens-R op 22 juli 2024 14:43]

Koos Ofzo @Xsion • 23 februari 2023 15:02

DNSSEC Outbound voor Exchange Online is GA sinds januari 2022, Inbound GA 2023 Juli voor Exchange Online. Vrees dat je voor Azure nog langer mag wachten, waarom Microsoft zo ver achterloopt hierop snap ik ook niet.

Yodocus @Xsion • 23 februari 2023 16:07

Echt he. Onbestaanbaar dat dit nog niet zo is. Mondjesmaat in Exchange Online. Net zoals IPv6, ook ziets. Wordt nog maar net in Azure AD ondersteund, voor trusted locations dan. Aan DMARC durf ik nog niet eens te denken.

BJD1997 @Yodocus • 24 februari 2023 00:10

In mijn homelab maak ik gebruik van Azure AD en Exchange online en heb zonder problemen DMARC in gebruik. Ook IPv6 aan laten zetten voor Exchange online door een ticket te openen bij MS en ze zetten het netjes voor je aan.

Yodocus @BJD1997 • 24 februari 2023 14:17

Exchange Online kent zelf geen DMARC rapportages, daar heb je een externe oplossing voor nodig. Verder verzenden ze zelf geen rapporten en ze volgen het reject policy niet op. IPv6 staat default uit en moet je zelf aanvragen.

BJD1997 @Yodocus • 24 februari 2023 14:20

Voor DMARC rapportages maak ik gebruik van MailHardener.com verder kan je met de anti-spam policy's aangeven of de reject policy moet worden gevolgd. Maar ze kunnen inderdaad nog wel wat meer doen aan security zoals DANE support (komt eraan maar duurt erg lang)

Xsion @Yodocus • 25 februari 2023 11:28

ze verzenden inmiddels dmarc rapporten

robertlinke @Xsion • 24 februari 2023 10:22

het staat wel op de roadmap of zo als hun het noemen de "Azure DNS backlog"
https://learn.microsoft.com/en-us/azure/dns/dns-faq

je kan je support geven voor DNSSEC te implementeren op deze pagina: https://feedback.azure.co...26-ec11-b6e6-000d3a4f0789

eborn 23 februari 2023 13:55

Ik ben vooral benieuwd hoe het staat met het verhuizen van DNSSEC domeinen. Dit is over het algemeen een drama om goed te doen. SIDN heeft ooit met de Key relay RFC een procedure bedacht voor het uitwisselen van key gegevens, maar zover mij bekend gebruikt niemand die actief. De opmerking is meestal: zet DNSSEC maar even uit voordat je gaat verhuizen. Terwijl er gewoon methodes zijn om dit beter te stroomlijnen.

Als ik even kijk bij TransIP, een van de grotere domeinpartijen in Nederland, dan zie ik eigenlijk geen enkele procedure voor het omzetten van een DNSSEC beveiligd domein.

Hydranet @eborn • 23 februari 2023 14:12

Ik heb begin oktober mijn domein verhuisd van Leaseweb naar TransIP en ik had bij Leaseweb al DNSSEC aan staan op mijn domein. Maar ik heb nul problemen ondervonden bij mijn verhuizing, ik heb gewoon mijn records kunnen overzetten en die bleven het ook doen nadat de verhuizing compleet was.

Spykie @Hydranet • 23 februari 2023 14:36

Was dat toevallig een domeinnaam met een andere TLD dan .nl?

Het probleem m.b.t. het verhuizen van met DNSSEC beschermde domeinen is vooral een probleem bij .nl domeinen vanwege trage update van de .nl zonefile.

Hydranet @Spykie • 23 februari 2023 14:37

Nee ik heb gewoon een .nl domein.

eborn @Hydranet • 23 februari 2023 14:54

Maar was je domein ook geldig tijdens de transitie? Dat hij reageert en ook resultaten teruggeeft zegt in veel gevallen niet zoveel. Ik heb een domein gehad wat een aantal weken ongeldige DS keys had, en die werkte prima omdat blijkbaar geen enkele resolver hard blokkeerde op DNSSEC fouten.

Hydranet @eborn • 23 februari 2023 15:01

Zolang ik nergens last van heb zal ik ook niks te klagen hebben, als dat anders was geweest was ik wel op onderzoek uit gegaan.

lenwar

Internet
Nederland
Dns
Beveiliging en antivirus

@eborn • 23 februari 2023 16:00

https://ianix.com/pub/dnssec-outages.html

En gezien hoe vaak het fout gaat snap ik dat ook wel. Het gebeurt regelmatig dat hele tld’s het niet meer zouden doen.

Uiteraard gaat het wel steeds beter, maar het hele mechanisme is (blijkbaar erg) foutgevoelig.

alm @eborn • 24 februari 2023 13:44

Om problemen te vermijden (*) laat ik eerst de DS-record in de TLD door de verlatende hosting provider verwijderen en wacht dan minimaal de TTL van de DS-record in de TLD voor ik het domein verhuis naar de Registrar. Na de verhuizing zet ik DNSSEC aan op de zone en daarna zet ik de DS-record weer actief via de Registrar. In NL zijn niet zoveel 'registrars' (vaak hosting providers die domeinregistratie erbij doen) die je de optie bieden om de DS-record zelf aan te passen. Nu nemen we zelf onze domeinregistratie diensten af bij Openprovider (zij zijn een echte Registrar) en gebruiken de DNS dienst van een DNS provider (als secundaire DNS servers, wij draaien zelf de hidden primaire server waarop we het beheer doen). Wij zijn volledig in controle op deze manier en overgaan naar een andere DNS provider is dan minder werk dan dat je alle domeinen moet verhuizen. Kunnen er ook een andere DNS provider naast zetten als dat wenselijk is, omdat we zelf de primaire DNS draaien heeft dat geen gevolgen voor DNSSEC.

*) Gezien de bekende Recursive DNS providers aan DNSSEC validatie doen neem ik het risico gewoon niet om met DS-record in de TLD te verhuizen. Dan is je domein gelijk BOGUS als er ergens iets mis gaat. E.e.a. hangt natuurlijk ook af van de professionaliteit van de oude en nieuwe domeinprovider, maar in onze case was het sowieso geen optie.

deadderek 23 februari 2023 13:55

Opvallend dat Brazilië op de vierde plek staat qua oorsprong van de resolver. De eerste drie zijn vrij logisch, en de rest ook, maar ik snap niet zo goed waarom Brazilië zoveel resolves moet doen voor Nederlandse domeinen. Moet het misschien BE zijn ipv BR?

musiman

24 februari 2023 13:37

Nou kan SIDN wel beweren dat 60% van de .NL sites DNSSEC gebruikt, maar wanneer dat nog niet (volledig) is geïmplementeerd bij alle records van een .nl domain, dan vind ik dat die eigenlijk niet mee mag tellen.

Neem bijvoorbeeld ING. Volgens de website van SIDN maakt ING gebruik van DNSSEC, maar wanneer je dat op www.internet.nl test, blijkt dat ING nog geen gebruik maakt van DNSSEC... Wie heeft nou gelijk?

alm @musiman • 24 februari 2023 14:26

Als dat ing.nl betreft dan hebben ze volgens https://dnsviz.net wel DNSSEC (incl. DS-record in de TLD). Ik zie dat ze ook hun ZSK netjes vervangen regelmatig (met 1024 bit key ook wel nodig vanuit security-oogpunt). De volgende staat ook al klaar.

Dat was ook een reden om het zelf in eigen hand te nemen (zie eerdere reactie), niet alle DNS providers vervangen met regelmaat de DNSSEC sleutels (KSK en ZSK of CSK) of ze wisselen alleen de ZSK (omdat de KSK via de TLD moet worden gesigned - de DS-record).

Edit: Even teruggekeken in de tijd en zie dat ING ook netjes de KSK wisselt.

[Reactie gewijzigd door alm op 22 juli 2024 14:43]

TOYS 24 februari 2023 16:52

Nu heb ik een enkel domein in office365 (nameserver bij de registar verwijst naar O365). Het domein in O365 heeft geen DNSSEC aan. Nu kan ik ook niet vinden of dit nu al mogelijk is vanuit microsoft... ik zie hier geen optie voor. Weet iemand of dit mogelijk is?

Op dit item kan niet meer gereageerd worden.

SIDN: bijna zestig procent .nl-domeinen maakt gebruik van dnssec

Lees meer

Een nieuw internet

Dnssec: voor het laatste onveilige protocol

Reacties (30)

Sorteer op:

Weergave: